一、相关概念
1.什么是JDBC
JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。
2.数据库驱动
我们安装好数据库之后,我们的应用程序也是不能直接使用数据库的,必须要通过相应的数据库驱动程序,通过驱动程序去和数据库打交道。其实也就是数据库厂商的JDBC接口实现,即对Connection等接口的实现类的jar文件。
二、常用接口
1.Driver接口
Driver接口由数据库厂家提供,作为java开发人员,只需要使用Driver接口就可以了。在编程中要连接数据库,必须先装载特定厂商的数据库驱动程序,不同的数据库有不同的装载方法。如:
装载MySql驱动:Class.forName("com.mysql.jdbc.Driver");
装载Oracle驱动:Class.forName("oracle.jdbc.driver.OracleDriver");
2.Connection接口
Connection与特定数据库的连接(会话),在连接上下文中执行sql语句并返回结果。DriverManager.getConnection(url, user, password)方法建立在JDBC URL中定义的数据库Connection连接上。
连接MySql数据库:Connection conn = DriverManager.getConnection("jdbc:mysql://host:port/database", "user", "password");
连接Oracle数据库:Connection conn = DriverManager.getConnection("jdbc:oracle:thin:@host:port:database", "user", "password");
连接SqlServer数据库:Connection conn = DriverManager.getConnection("jdbc:microsoft:sqlserver://host:port; DatabaseName=database", "user", "password");
常用方法:
-
- createStatement():创建向数据库发送sql的statement对象。
- prepareStatement(sql) :创建向数据库发送预编译sql的PrepareSatement对象。当 SQL 语句将运行多次时,尽量使用PreparedStatement,以便提高运行效率
- prepareCall(sql):创建执行存储过程的callableStatement对象。
- setAutoCommit(boolean autoCommit):设置事务是否自动提交。
- commit() :在链接上提交事务。
- rollback() :在此链接上回滚事务。
3.Statement接口
用于执行静态SQL语句并返回它所生成结果的对象。在默认情况下,同一时间每个 Statement 对象在只能打开一个 ResultSet 对象。因此,如果读取一个 ResultSet 对象与读取另一个交叉,则这两个对象必须是由不同的 Statement对象生成的。
三种Statement类:
-
- Statement:由createStatement创建,用于发送简单的SQL语句(不带参数)。
- PreparedStatement :继承自Statement接口,由preparedStatement创建,用于发送含有一个或多个参数的SQL语句。当 SQL 语句将运行多次时,尽量使用PreparedStatement,以便提高运行效率 。PreparedStatement对象比Statement对象的效率更高,并且可以防止SQL注入,所以我们一般都使用PreparedStatement。
- CallableStatement:继承自PreparedStatement接口,由方法prepareCall创建,用于调用存储过程。
常用Statement方法:
-
- execute(String sql):运行语句,返回是否有结果集
- executeQuery(String sql):运行select语句,返回ResultSet结果集。
- executeUpdate(String sql):运行insert/update/delete操作,返回更新的行数。
- int executeUpdate(String sql, int autoGeneratedKeys) :执行给定的 SQL 语句,并用给定标志通知驱动程序由此 Statement 生成的自动生成键是否可用于获取。
- int flag = ps.executeUpdate("insert into student (sname,birthday,class)values('xiaohua','2003-05-05','vr')",Statement.RETURN_GENERATED_KEYS);
//获取主键 ResultSet getGeneratedKeys() - addBatch(String sql) :把多条sql语句放到一个批处理中。
- executeBatch():向数据库发送一批sql语句执行。
4.ResultSet接口
ResultSet提供检索不同类型字段的方法,常用的有:
-
- getString(int index)、getString(String columnName):获得在数据库里是varchar、char等类型的数据对象。
- getFloat(int index)、getFloat(String columnName):获得在数据库里是Float类型的数据对象。
- getDate(int index)、getDate(String columnName):获得在数据库里是Date类型的数据。
- getBoolean(int index)、getBoolean(String columnName):获得在数据库里是Boolean类型的数据。
- getObject(int index)、getObject(String columnName):获取在数据库里任意类型的数据。
- ResultSetMetaData getMetaData(): throws SQLException获取此 ResultSet 对象的列的编号、类型和属性。
- ResultSet getGeneratedKeys() :获取主键 。
- // int getColumnCount() 返回此 ResultSet 对象中的列数。
System.out.println("结果集一共有"+data.getColumnCount());
//String getColumnName(int column) 获取指定列的名称。
System.out.println(data.getCatalogName(2));
//int getColumnType(int column) 获取指定列的 SQL 类型。
System.out.println(data.getColumnType(2));
ResultSet还提供了对结果集进行滚动的方法:
-
- next():移动到下一行
- Previous():移动到前一行
- absolute(int row):移动到指定行
- beforeFirst():移动resultSet的最前面。
- afterLast() :移动到resultSet的最后面。
使用后依次关闭对象及连接:ResultSet → Statement → Connection
日期和时间:
- java.sql.Date类:java.util.Date的子类,一个包装了毫秒值的瘦包装器 (thin wrapper),它允许 JDBC 将毫秒值标识为 SQL DATE 值.
- 在向数据库中插入日期数据时,会出现java.util.Date与数据库日期格式不兼容的情况,此时就要用到java.sql.Date类和Timestamp,该类的格式为:yyyy-MM-dd
- 1.java数据注入数据库:日期:yyyy-MM-dd使用valueOf(string date),得到sql.Date对象;
- ps.setDate(1,java.sql.Date.valueOf(birthdate));
- 2.如果(字符串类型)日期不是这种格式,使用SimpleDateFormat和util.Date进行解析(parse), java.util.Date d=df.parse(date);通过getTime方法得到毫秒数,创建sql.Date对象。
三、使用JDBC的步骤
加载JDBC驱动程序 → 建立数据库连接Connection → 创建执行SQL的语句Statement → 处理执行结果ResultSet → 释放资源
1.注册驱动 (只做一次)
方式一:Class.forName(“com.MySQL.jdbc.Driver”);
推荐这种方式,不会对具体的驱动类产生依赖。
方式二:DriverManager.registerDriver(com.mysql.jdbc.Driver);
会造成DriverManager中产生两个一样的驱动,并会对具体的驱动类产生依赖。
2.建立连接
Connection conn = DriverManager.getConnection(url, user, password);
URL用于标识数据库的位置,通过URL地址告诉JDBC程序连接哪个数据库,URL的写法为:
其他参数如:useUnicode=true&characterEncoding=utf8
3.创建执行SQL语句的statement
1 //Statement 2 String id = "5"; 3 String sql = "delete from table where id=" + id; 4 Statement st = conn.createStatement(); 5 st.executeQuery(sql); 6 //存在sql注入的危险 7 //如果用户传入的id为“5 or 1=1”,那么将删除表中的所有记录
1 //PreparedStatement 有效的防止sql注入(SQL语句在程序运行前已经进行了预编译,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令) 2 String sql = “insert into user (name,pwd) values(?,?)”; 3 PreparedStatement ps = conn.preparedStatement(sql); 4 ps.setString(1, “col_value”); //占位符顺序从1开始 5 ps.setString(2, “123456”); //也可以使用setObject 6 ps.executeQuery();
4.处理执行结果(ResultSet)
1 ResultSet rs = ps.executeQuery(); 2 While(rs.next()){ 3 rs.getString(“col_name”); 4 rs.getInt(1); 5 //… 6 }
5.释放资源
//数据库连接(Connection)非常耗资源,尽量晚创建,尽量早的释放 //都要加try catch 以防前面关闭出错,后面的就不执行了 1 try { 2 if (rs != null) { 3 rs.close(); 4 } 5 } catch (SQLException e) { 6 e.printStackTrace(); 7 } finally { 8 try { 9 if (st != null) { 10 st.close(); 11 } 12 } catch (SQLException e) { 13 e.printStackTrace(); 14 } finally { 15 try { 16 if (conn != null) { 17 conn.close(); 18 } 19 } catch (SQLException e) { 20 e.printStackTrace(); 21 } 22 } 23 }
附:
对try-catch语句块中变量的作用域说明
try-catch语句块中变量的作用域,与其它语句块的作用域一样。
- 在语句块内部定义的变量,作用域在语句块内部,外部不可见。
/*语句块内部*/
try{
int a = 0;
}catch(Exception e){
int b = 0;
}finally{
int c = 0;
}
/*语句块外部*/
//a = 5; //非法,编译器无法识别该变量
//b = 5; //非法,编译器无法识别该变量
//c = 5; //非法,编译器无法识别该变量- 在语句块外部定义的变量,在语句块内部可以对变量进行修改。
/*语句块外部*/
int a = 0;
/*语句块内部*/
try{
a = 5;
}catch(Exception e){
a = 5;
}finally{
a = 5;
}
/*语句块外部*/
System.out.println(a);SQL注入式攻击:攻击者把SQL命令插入到查询语句中,欺骗服务器执行,例如:
String name = "' or '0'='0";
String pwd = "' or '0'='0";
String sql = "select * from uinfo where name = '"+name+"' and pwd='"+pwd+"'";
System.out.println(sql);String sql = "select * from uinfo where name=? and pwd=?";
con = getConnection();
pstmt = con.prepareStatement(sql);
pstmt.setString(1, name);
pstmt.setString(2, pwd);
rs = pstmt.executeQuery();
if(rs.next())
System.out.println("用户名输入正确!!");
else
System.out.println("用户名输入错误!!");
}
//PreparedStatement 有效的防止sql注入(SQL语句在程序运行前已经进行了预编译,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令)
当需要处理一些复杂业务时,我们往往需要执行很多的SQL语句,这时最合适的方式就是把这些SQL语句放到一个存储过程里。
CallableStatement是PreparedStatement和Statement接口的子接口,其主要作用是调用存储过程。
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
