文章详细介绍了JDBC的概念,包括它作为SUN制定的数据库接口,用于Java操作各种数据库。内容涵盖JDBC编程的步骤,如加载驱动、建立连接、执行SQL以及处理结果集,同时对比了Statement和PreparedStatement的区别,并强调了PreparedStatement在防止SQL注入上的优势。此外,还讨论了SQL注入的原因和防范措施。
目录
2.3.2、DriverManager获取Connection连接
3.6、CreateStatement与PreparedStatement的区别
一、概念
1.1、JDBC是什么?
Java DataBase Connectivity(Java语言连接数据库)
JDBC就是使用Java语言操作关系型数据库的一套API
1.2、JDBC的本质
JDBC是SUN公司指定的一套接口(interface),放在软件包java.sql.*;下。通过JDBC能实现Java程序对各种数据库的访问。
接口都有调用者和实现者,面向接口调用、面向接口写实现类,这都属于面向接口编程。
为什么要面向接口编程?
- 解耦合:降低程序的耦合度,提高程序的扩展力。
- 多态机制就是非常经典的:面向抽象编程。
如:
(建议):
Animal a = new Cat();
Animal a = new Dog();
(不建议):
Dog d = new Dog();
Cat c = new Cat();
为什么SUN制定一套JDBC接口?
- 每个数据库的底层实现原理都不一样。
Oracle、MySQL、MS SqlServer等数据库产品每一个都有自己独特的实现原理。
所以,当我们需要使用某个数据库产品的时候,需要下载对应的数据库驱动,也就是对应的jar包。
- 驱动是什么
所有的数据库驱动都是以jar包的形式存在,jar包当中有很多.class文件,这些class文件就是对JDBC接口的实现。
驱动不是SUN公司提供的,是各大数据库厂家负责提供。下载驱动jar包需要去数据库官网下载。
对于程序员来说,不需要关心哪个品牌的数据库,只需要面向JDBC接口编程。
二、JDBC编程步骤:
2.1、创建maven项目
2.2、添加maven依赖
2.2.1、MySQL依赖
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>8.0.29</version>
</dependency>2.2.2、Oracle依赖
<dependency>
<groupId>com.oracle.database.jdbc</groupId>
<artifactId>ojdbc6</artifactId>
<version>11.2.0.4</version>
</dependency>2.3、编写代码
2.3.1、Class.forName()加载驱动
作用:告诉java程序,即将要连接的是哪个品牌的数据库
MySQL驱动
注册驱动的第一种写法
DriverManager.registerDriver(new com.mysql.jdbc.Driver());
注册驱动的第二种写法(常用)
Class.forName("com.mysql.jdbc.Driver");Oracle驱动
Class.forName("oracle.jdbc.driver.OracleDriver");2.3.2、DriverManager获取Connection连接
表示JVM的进程和数据库进程之间的通道打开了。
属于进程之间的通信,使用完之后一定要关闭通道
MySQL
- mysql路径:jdbc:mysql://mysql地址:端口/数据库名
- mysql默认端口为3306
Oracle
oracle
- oracle路径:jdbc:oracle:thin:@oracle地址:端口:数据库实例名
- oracle默认端口为1521
# MySQL连接:
String url="jdbc:mysql://192.168.153.134:3306/jdbcdb";
String user="root";
String passwd="123123";
Connection connection = DriverManager.getConnection(
url,user,passwd);
# Oracle连接:
String url="jdbc:oracle:thin:@192.168.153.134:1521:prod";
String user="root";
String passwd="123123";
Connection connection = DriverManager.getConnection(
url,user,passwd);2.3.3、创建Statement执行sql语句
# 操作数据库 新增 删除 修改 查询
String sql1 = "insert into dept(id,name) values(?,?)";
String sql2 = "delete from dept where depno=?";
String sql3 = "update dept name=? where id=?";
String sql4 = "select id,name from dept";
# 执行sql语句
PreparedStatement preparedStatement = connection.prepareStatement(sql);
# 对数据进行增删改时,可以通过preparedStatement对语句进行操作
preparedStatement.setInt(1,32);
preparedStatement.setString(2,"王强");2.3.4、处理查询结果集
只有当执行的是select语句的时候,才有处理查询结果集。
# 增删改操作
int count = stmt.executeUpdate(sql);
System.out.println(count ==1 ? "删除成功" : "删除失败");
# 查找操作
ResultSet resultSet = stmt.executeQuert(sql);
while(resultSet.next()){
# 当前()中的1、2为查询的列
System.out.println(resultSet.getInt(1));
System.out.println(resultSet.getString(2));
}2.3.5、释放资源
使用完资源之后一定要关闭资源。Java和数据库属于进程间的通信,开启之后一定要关闭。
preparedStatement.close();
connection.close();
# 当使用查询时,需要对resultSet()进行关闭
resultSet.close();三、JDBC连接实例演示:
mysql> create table dog(
-> id int(10) primary key auto_increment,
-> name varchar(32) comment '宠物名',
-> health int(10) comment '健康值',
-> love int(10) comment '亲密度',
-> strain varchar(32) comment '品种',
-> `lytm` datetime comment `领养时间`
-> );3.1、新增数据
/*新增*/
String sql = "insert into dog(name,health,love,strain,lytm) value(?,?,?,?,?)";
String name = "旺财";
Integer health = 100;
Integer love = 68;
String strain = "田园犬";
Date lytm = new Date(System.currentTimeMillis());
preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1,name);
preparedStatement.setInt(2,health);
preparedStatement.setInt(3,love);
preparedStatement.setString(4,strain);
preparedStatement.setDate(5,lytm);
int num = preparedStatement.executeUpdate();
if(num>0){
System.out.println("新增宠物狗成功");
}3.2、修改数据
/*插入*/
String sql2 = "update dog set name=?,health=?,love=? where id=?";
String name2 = "小金子";
Integer health2 = 100;
Integer love2 = 80;
Integer id = 1;
preparedStatement = connection.prepareStatement(sql2);
preparedStatement.setString(1,name2);
preparedStatement.setInt(2,health2);
preparedStatement.setInt(3,love2);
preparedStatement.setInt(4,id);
int num2 = preparedStatement.executeUpdate();
System.out.println(num2>0?"修改成功":"修改失败");3.3、删除数据
/*插入*/
String sql3 = "delete from dog where id=?";
preparedStatement = connection.prepareStatement(sql3);
Integer id3 = 1;
preparedStatement.setInt(1,id3);
int num3 = preparedStatement.executeUpdate();
System.out.println(num3>0?"删除成功":"删除失败");3.4、查询数据
/*插入*/
String sql4 = "select id,name,health,love,strain,lytm from dog";
preparedStatement = connection.prepareStatement(sql4);
resultSet = preparedStatement.executeQuery();
System.out.println("\t\t狗狗信息");
System.out.println("编号\t名字\t健康\t亲密度\t品种\t领养时间");
while(resultSet.next()){
System.out.print(resultSet.getInt("id")+"\t");
System.out.print(resultSet.getString("name")+"\t");
System.out.print(resultSet.getInt("health")+"\t");
System.out.print(resultSet.getInt("love")+"\t");
System.out.print(resultSet.getString("strain")+"\t");
System.out.println(resultSet.getDate("lytm")+"\t");
}
// 释放资源
resultSet.close();
3.5、应用
public class App {
public static void main( String[] args ) {
Connection connection = null;
PreparedStatement preparedStatement = null;
// com.mysql.jdbc.Driver
try {
// 第一步:加载驱动
Class.forName("com.mysql.jdbc.Driver");
// 第二步:获取collection对象
connection = DriverManager.getConnection(
"jdbc:mysql://192.168.153.134:3306/new",// MySQL服务器地址,端口,数据库名
"root",// 数据库的用户名:root
"123123"// 数据库密码:123123
);
System.out.println(connection);
// 第三步:操作数据库 新增 删除 修改 查询
/*新增*/
String sql = "insert into dog(name,health,love,strain,lytm) value(?,?,?,?,?)";
String name = "旺财";
Integer health = 100;
Integer love = 68;
String strain = "田园犬";
Date lytm = new Date(System.currentTimeMillis());
// 第三步:创建preparestatement
preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1,name);
preparedStatement.setInt(2,health);
preparedStatement.setInt(3,love);
preparedStatement.setString(4,strain);
preparedStatement.setDate(5,lytm);
// 第四步:获取到执行新增语句后的返回结果
int num = preparedStatement.executeUpdate();
if(num>0){
System.out.println("新增宠物狗成功");
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} finally {
// 第五步:释放资源
try {
if(preparedStatement!=null){
preparedStatement.close();
}
if(connection!=null) {
connection.close();
}
}
catch (SQLException e) {
e.printStackTrace();
}
}
}
}
3.6、CreateStatement与PreparedStatement的区别
SQL注入:
如下面的SQL语句时:
String sql =
"select * from t_user where loginName= ' "
+loginName +
" ' and loginPwd = ' "
+loginPwd+
" ' ";
String loginName = fv;
String loginPwd = fv' or '1'='1能够成功登录,这种现象被称为SQL注入,存在一定的安全隐患。
SQL注入的根本原因:
用户输入的信息中包含SQL语句的关键字,并且这些关键字参与SQL语句的编译过程,导致SQL语句的原意被扭曲,进而达到SQL注入。
- 为了结局SQL注入的问题,那么只要用户提供的信息不参与SQL语句的编译过程就可以了。即使用户提供的信息中包含SQL语句的关键字,但是没有参与编译,那关键字就不起作用。
- 如果想要用户不参与SQL语句的编译,那么必须使用java.sql.PreparedStatement
- 原理是:预先对SQL语句的框架进行编译,然后再给SQL语句传值。
概念上:
- prepareStatement会先初始SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率;
- createStatement不会初始化,没有预处理;
变量上:
- prepareStatement 可以在SQL中用 "?"替换变量,一个"?"代表一个占位符,接受一个"值",可以保证SQL安全问题,防止SQL注入;
- createStatement 只能在SQL中拼接参数,容易造成SQL注入;
# 使用Statement()
// 3、创建Statement执行sql语句
stmt = conn.createStatement();
String sql = "select * from ...";
// 4、处理查询结果集
rs = stmt.executeQuery(sql);
# 使用PreparedStatement()
// 3、创建Statement执行sql语句
// sql语句框架,其中?表示占位符。注意占位符不能使用单引号括起来。
String sql = "select * from t_user where loginName = ? and loginPwd = ?";
// 程序执行到此处,会发送sql语句框架给DBMS,DBMS进行sql语句的预先处理
pstmt = conn.prepareStatement(sql);
// 给占位符"?"传值(第一个?下标为1,第二个?下标为2)
pstmt.setString(1,"root");
pstmt.setString(2,"123123");
// 4、处理查询结果集
rs = pstmt.executeQuery();
功能上:
- 如果想要删除多条数据,对于createStatement 需要写多条SQL语句;
- 而prepareStatement 通过set不同数据只需要生成一次执行计划,就可重用;
总结:
- prepareStatement是预编译处理的,也叫jdbc存储过程,对于批量处理可以大大提高效率;同时对象的开销比createStatement大,对于一次性操作并不会带来额外的好处;但是能避免SQL注入的安全问题;
- createStatement对象,适用于在对数据库只执行一次性存取需求,可能造成SQL注入,不安全;
扫一扫
885
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
