文章目录
JDBC就是使用Java语言操作关系型数据库的一套API,下面是JDBC中一些常见API的知识总结。
DriverManager(驱动管理对象)
DriverManager是一个工具类,里面有很多的静态方法,通过 “类名.方法名” 的方式调用方法。
功能:
- 注册驱动:告诉程序该使用哪一个数据库驱动jar
Class.forName("com.mysql.jdbc.Driver")
查看Driver类源码
在MySQL5之后的驱动jar包中 “Class.forName(“com.mysql.jdbc.Driver”)” 可以不写,因为在lib文件下的mysql驱动jar包中META-INF目录下的services中有一个Driver文件,该文件记录了对应驱动的类的名称,使用时自动加载。
- 获取连接
- url:连接路径
- user:用户名
- password:密码
Connection(数据库连接对象)
Connection是java API中提供的一个接口,它的实现类由其他厂商完成,用来与数据库的连接。这个接口可以调用方法,来获得SQL语句的对象。
功能:
- 获取执行SQL的对象
- 普通执行SQL对象
Statement createStatement()
- 预编译SQL的执行SQL对象:防治SQL注入
PreparedStatement prepareStatement(sql)
- 执行存储过程的对象
CallableStatement prepareCall(sql)
注:其中Statement接口本身使用较少,而它的子接口PreparedStatement 却经常使用,PreparedStatement 比 Statement 更安全,没有SQL注入的问题。它的实例对象表示一条预编译过的 SQL 语句,可以发送SQL语句到数据库。
- 管理事务
- MySQL事务管理
- JDBC事务管理:Connection接口中定义了3个对应的方法
开启事务,取消自动提交
注:如果自动提交,执行操作1和操作2时,中间有出错行为,则执行操作1而不执行操作2;如果取消自动提交,执行过程中出现错误,则操作1和操作2均为无效。
Statement(执行SQL的对象)
Statement 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句(用于执行静态 SQL 语句并返回它所生成结果的对象。
- 创建Statement对象
Connection connection = DriverManager.getConnection(url,user,password);
Statement statement = connection.createStatement();
- 使用Statement对象执行语句
- executeQuery:
Statement.executeQuery(String sql);
用于向数据库发送select语句,返回ResultSet结果集对象
String sql = "select * from t_user;";
ResultSet rs = stmt.executeQuery(sql);
- executeUpdate:
Statement.executeUpdate(String sql);
用于向数据库发送insert、update、delete语句,返回int类型参数,代表影响记录的行数
返回值:(1)DML语句影响的行数(2)DDL语句执行后,执行成功也可能返回0
- execute:
Statement.execute(String sql);
不区分语句,返回boolean类型参数。
true表示sql是select语句,然后可以用stmt.getResultSet()返回ResultSet;
false表示sql是 非select语句,然后可以用stmt.getUpdateCount()返回int。
ResultSet(结果集对象)
结果集(ResultSet)是数据中查询结果返回的一种对象,具有存储的功能,操纵数据的功能,可以完成对数据的更新等。
作用:
- 封装了DQL查询语句的结果
ResultSet stmt.executeQuery(sql);
- 获取查询结果
- 最基本的ResultSet
Statement stmt = conn.CreateStatement()
ResultSet rs = stmt.excuteQuery(sql);
这种结果集起到的作用就是完成了查询结果的存储功能,而且只能读取一次,不能够来回的滚动读取。
- 可滚动的ResultSet类型
使用步骤:
//1、游标向下移动一行,并判断该行是否有数据:next()
//2、获取数据:getXxx(参数)
// 循环判断游标是否是最后一行末尾
while(rs.next)) {
// 获取数据
rs.getXxx(参数)
}
PreparedStatement(预编译SQL语句)
该接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。
作用:预编译SQL语句,防治SQL注入。
—— 什么是SQL注入?
SQL注入是比较常见的网络攻击方式之一,是Web开发中最常见的一种安全漏洞。由于程序没有有效过滤用户的输入内容,使得攻击者成功的向服务器提交恶意的SQL脚本,程序接受错误信息后将输入内容作为SQL语句的一部分执行,导致原始的查询逻辑被改变,通过SQL语句实现无账号登录,甚至篡改数据库。
通过案例说明:
package com.adiao.jdbc;
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.ResourceBundle;
import java.util.Scanner;
/*
* 实现功能:
* 1、需求:模拟用户登录功能的实现。
* 2、业务描述:
* 程序运行的时候,提供一个输入的入口,可以让用户输入用户名和密码
* 用户输入用户名和密码之后,提交信息,java程序收集到用户信息
* java程序连接数据库验证用户名和密码是否合法
* 合法:显示登陆成功
* 不合法:显示登录失败
* 3、数据的准备:
* 在实际开发中,表的设计会使用专业的建模工具,我们这里安装一个建模工具:PowerDesigner
* 使用PD工具来进行数据库表的设计。
* 4、当前程序存在的问题:用户名:aDiaoYa
* 密码:aDiaoYa'or'1'='1
* 登陆成功
* 这种现象被称为SQL注入。(安全隐患,黑客经常使用)
* 5、导致SQL注入的根本原因是?
* 用户输入的信息中含有sql语句的关键字,并且这些关键字参与sql语句的编译过程,
* 导致sql语句的原意被扭曲,进而达到sql注入。
* */
public class JDBCtest04 {
public static void main(String[] args) {
// 定义一个方法,初始化一个界面
Map<String,String> userLoginInfo = initUI();
// 验证用户名和密码
boolean loginSuccess = logdin(userLoginInfo);
System.out.println(loginSuccess?"登陆成功":"登录失败");
}
/**
* 用户登录
* @param userLoginInfo 用户登录
* @return false表示失败,true表示成功
* */
private static boolean logdin(Map<String, String> userLoginInfo) {
// 打标记
boolean loginsuccess = false;
//JDBC代码
// 使用资源绑定器绑定属性配置文件
ResourceBundle bundle = ResourceBundle.getBundle("com.adiao.jdbc.jdbc");
String driver = bundle.getString("driver");
String url = bundle.getString("url");
String user = bundle.getString("user");
String password = bundle.getString("password");
Connection conn = null; //获取连接
Statement stmt = null; //数据库对象
ResultSet rs = null; //查询结果集
String loginName = userLoginInfo.get("loginName");
String loginPwd = userLoginInfo.get("loginPwd");
try {
// 1、注册驱动
Class.forName(driver);
// 2、获取连接
conn = DriverManager.getConnection(url,user,password);
// 3、获取数据库操作对象
stmt = conn.createStatement();
// 4、执行sql语句
String sql = "select * from t_user where loginName='"+loginName+"' and loginPwd='"+loginPwd+"'";
rs = stmt.executeQuery(sql);
// 5、处理结果集
if (rs.next()) {
loginsuccess = true;
}
} catch (Exception e) {
e.printStackTrace();
} finally {
// 6、释放资源
if (rs!=null) {
try {
rs.close();
} catch (Exception e) {
e.printStackTrace();
}
}
if (stmt!=null) {
try {
stmt.close();
} catch (Exception e) {
e.printStackTrace();
}
}
if (conn!=null) {
try {
conn.close();
} catch (Exception e) {
e.printStackTrace();
}
}
}
return loginsuccess;
}
/**
* 初始化用户界面
* @return 用户输入的用户名和密码等登录信息
* */
private static Map<String,String> initUI() {
Scanner sc = new Scanner(System.in);
System.out.print("用户名:");
String loginName = sc.nextLine();
System.out.print("密码:");
String loginPwd = sc.nextLine();
Map<String,String> userLoginInfo = new HashMap<>();
userLoginInfo.put("loginName",loginName);
userLoginInfo.put("loginPwd",loginPwd);
return userLoginInfo;
}
}
上述代码会出现SQL注入问题,预防SQL注入攻击的方法:
- 校验参数的数据格式是否合法 (可以通过正则或特殊字符的判断)
- 对进入数据库的特殊字符进行转义处理或编码转换
- 绑定变量,使用预编译语句,避免SQL拼接
package com.adiao.jdbc;
import java.sql.*;
import java.util.HashMap;
import java.util.Map;
import java.util.ResourceBundle;
import java.util.Scanner;
public class JDBCtest05 {
public static void main(String[] args) {
// 定义一个方法,初始化一个界面
Map<String,String> userLoginInfo = initUI();
// 验证用户名和密码
boolean loginSuccess = logdin(userLoginInfo);
System.out.println(loginSuccess?"登陆成功":"登录失败");
}
/**
* 1、解决SQL注入问题?
* 只要用户提供的信息不参与SQL语句的编译过程,问题就解决了
* 即使用户提供的信息中含有SQL语句的关键字,但是没有参与编译,不起作用。
* 要想用户信息不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement
* PreparedStatement接口继承了java.sql.Statement
* PreparedStatement是属于预编译的数据库操作对象
* PreparedStatement的原理是:预先对SQL语句的框架进行编译,然后再给SQL语句传“值”。
*
*
* 2、测试结果:
* 用户名:nihao
* 密码:nihao'or'1'='1
* 登录失败
*
* 3、解决SQL注入的关键是?
* 用户提供的信息中即使含有sql语句的关键字,但是这些关键字并没有参与编译。不起作用!
* */
private static boolean logdin(Map<String, String> userLoginInfo) {
// 打标记
boolean loginsuccess = false;
//JDBC代码
// 使用资源绑定器绑定属性配置文件
ResourceBundle bundle = ResourceBundle.getBundle("com.adiao.jdbc.jdbc");
String driver = bundle.getString("driver");
String url = bundle.getString("url");
String user = bundle.getString("user");
String password = bundle.getString("password");
Connection conn = null; //获取连接
PreparedStatement ps = null; //数据库对象——这里使用PreparedStatement(预编译的数据库操作对象)
ResultSet rs = null; //查询结果集
String loginName = userLoginInfo.get("loginName");
String loginPwd = userLoginInfo.get("loginPwd");
try {
// 1、注册驱动
Class.forName(driver);
// 2、获取连接
conn = DriverManager.getConnection(url,user,password);
// 3、获取预编译的数据库操作对象
// 其中一个?,表示一个占位符,一个?将来接收一个“值”,注意:占位符不能使用单引号括起来。
String sql = "select * from t_user where loginName= ? and loginPwd= ? "; //SQL语句的框架
ps = conn.prepareStatement(sql);
// 给占位符?传值(第一个问号:下标是1;第二个问号:下标是2,JDBC中所有下标从1开始。)
ps.setString(1,loginName);
ps.setString(2,loginPwd);
// 4、执行sql语句
rs = ps.executeQuery();
// 5、处理结果集
if (rs.next()) {
loginsuccess = true;
}
} catch (Exception e) {
e.printStackTrace();
} finally {
// 6、释放资源
if (rs!=null) {
try {
rs.close();
} catch (Exception e) {
e.printStackTrace();
}
}
if (ps!=null) {
try {
ps.close();
} catch (Exception e) {
e.printStackTrace();
}
}
if (conn!=null) {
try {
conn.close();
} catch (Exception e) {
e.printStackTrace();
}
}
}
return loginsuccess;
}
/**
* 初始化用户界面
* @return 用户输入的用户名和密码等登录信息
* */
private static Map<String,String> initUI() {
Scanner sc = new Scanner(System.in);
System.out.print("用户名:");
String loginName = sc.nextLine();
System.out.print("密码:");
String loginPwd = sc.nextLine();
Map<String,String> userLoginInfo = new HashMap<>();
userLoginInfo.put("loginName",loginName);
userLoginInfo.put("loginPwd",loginPwd);
return userLoginInfo;
}
}
—— 为什么PrepareStatement可以防止SQL注入?
因为PrepareStatement采用了预编译的方法,先将SQL语句中可被客户端控制的参数集进行编译,生成对应的临时变量集,再使用对应的设置方法,为临时变量集里面的元素进行赋值,赋值函数setString(),会对传入的参数进行强制类型检查和安全检查,所以就避免了SQL注入的产生。
详见:SQL注入详解
对比Statement和PrepareStatement
Statement和PreparedStatement两者都是用来执行SQL语句的。
- Statement:使用字符串拼接,存在sql注入问题,编译一次执行一次。
- PreparedStatement:它能够通过设置参数,指定相应的值,解决了sql注入问题,编译一次,可执行N次;且会在编译阶段做类型的安全检查。
综上所述:PreparedStatement使用较多,只有极少数的情况下需要使用Statement
—— PreparedStatement的优点:
- 其使用参数设置,可读性好,不易记错。在statement中使用字符串拼接,可读性和维护性比较差。
- 其具有预编译机制,性能比statement更快。
- 其能够有效防止SQL注入攻击。
—— 什么情况下必须使用Statement?
业务方面要求必须支持SQL注入的时候;需要sql语句拼接的时候。
Statement支持SQL注入,凡是业务方面要求是需要进行sql语句拼接的,必须使用Statement。
如有错误,请指正。