JDBC基础操作
JDBC全称:
Java DataBase Connectivity;是由SUN公司提供的一套通用的Java连接数据的标准(接口),这套接口用于屏蔽数据库之间的差异(方言),使得Java程序员可以专注于处理数据而不需要考虑数据库之间的差异;
简单来说:JDBC就是Java用来连接数据库的工具,在java中的一些常用的类都是接口,因为数据库都不同,所以需要各方数据库公司来实现JDBC标准;
JDBC分为六大步骤:
// 1.加载数据库驱动
Class.forName(“com.mysql.jdbc.Driver”);
// 2.获取数据库连接对象
Connectionconn=
DriverManager.getConnection(“jdbc:mysql://localhost:3306/test”, “root”, “123456”);
// 3.获取处理sql语句的对象
Statement stat = conn.createStatement();
// 4.执行sql(当执行结果为resultset(执行select操作时)时返回值为true,其他任何时候都是false)
boolean f = stat.execute
(“insert into user(username,password,nickname) values(‘softeem’,‘soft123’,‘软帝’)”);
// 5.处理结果
System.out.println(“执行结果:”+f);
// 6.关闭资源
stat.close(); conn.close();
以上JDBC代码以Mysql数据库为例
在我们用JDBC连接Mysql数据库的时候,有几个常用类
1.DriveManager
DriverManager是java.sql包中提供的一个用于进行数据库驱动管理的工具类,对于驱动的注册,以及连接的获取都
可以通过DriverManager来完成,另外从jdbc4开始,不再需要显示的使用
Class.forName(“com.mysql.jdbc.Driver”)加载驱动;因为DriverManager会自动寻找驱动包里面的以下文件:
DriverManager常用方法
getConnection(String url,String user,String password)
这个方法在API中的解释是:尝试建立与给定数据库URL的连接。
第一个参数用来放连接
第二个参数用来放数据库用户名
第三个参数用来放数据库登录密码
2.Connection
Connection是JDBC中的核心接口位于java.sql包,用于实现应用程序和数据库管理系统(DBMS)进行通信一个通道,通过该接口可以向数据库发送可以执行sql脚本,以及将执行之后的结果返回到程序中。connection即数据
库与应用程序之间的一个会话(session)
Connection常用方法
createStatement() :获取一个用于执行sql语句的执行对象,主要用于执行静态的sql(存在SQL注入风险)
parepareStatement(String sql) :获取一个预处理sql语句的执行对象,预先对sql语句编译,一般用于执行动态sql(解决SQL注入风险)
prepareCall(String sql):获取一个用于预处理sql存储过程的执行对象,主要用于执行存储过程(procedure)
setAutoCommit(boolean b):设置事物是否自动提交
commit():提交事务
rollback():事物回滚
getMetaData(): 获取数据库的元数据对象(DatabaseMetaData),包含了数据库的详细信息
3.Statement
Statement是来自java.sql包中用于执行sql语句的处理接口对象,该接口声明了一些用于执行sql语句的相关方法。
常见如下:
execute(String sql):用于执行任何的sql语句
executeQuery(String sql):主要用于执行sql查询(Select)操作
executeUpdate(String sql):主要用于执行sql更新(insert,update,delete)操作以及DDL操作
addBatch(String sql):用于将sql语句添加到当前Statement对象的命令列表中用于批量执行sql
executeBatch():用于将一批(多条sql)sql命令同时执行
getResultSet():获取执行当前SQL语句之后的结果集对象(ResultSet)
getGeneratedKeys():获取自动生成的键所在结果集
具体使用如下:
public static void main(String[] args) throws ClassNotFoundException, SQLException {
//1.加载数据库驱动(从jdbc4.0开始不在需要显示Class.forName("com.mysql.jdbc.Driver")加载驱动)
// Class.forName("com.mysql.jdbc.Driver");
//2.获取数据库连接对象
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test1", "root", "123456");
//3.获取处理sql语句的对象
Statement stat = conn.createStatement();
//4.执行sql(当执行结果为resultset(执行select时)时,则返回值为true,其他任何时候返回值都为false)
boolean f = stat.execute("insert into user(username,password,nickname) values('admin','123456','郝建')");
//5.处理结果
System.out.println("执行结果" + f);
//6.释放资源
stat.close();
conn.close();
}
Statement虽然是用来处理sql语句的接口,
但是它有一个致命的缺陷,那就是:SQL注入
观察以下代码
public static boolean login(String name, String pwd) throws SQLException, ClassNotFoundException {
String sql = "select * from user where username='" + name + "' and password='" + pwd + "'";
Connection conn = null;
Statement stat = null;
try {
conn = DriverManager.getConnection("jdbc:mysql://localhost/test1", "root", "123456");
stat = conn.createStatement();
//(执行查询并且获取结果集)
ResultSet rs = stat.executeQuery(sql);
//判断结果集中是否存在可用结果
if (rs.next()) {
return true;
}
} finally {
stat.close();
conn.close();
}
return false;
}
通过上面的代码我们可以得知,在调用此方法时,我们必须给定正确的字段值才能够查询出数据库的结果;
但是,当我们用如下格式调用此方法时,我们的方法还是会返回true
boolean b = login("addasdfasf", "'1'='1");
分析得知,无论账号如何提供,子需要密码按照第二个参数的写法,即可绕过登录过程直接输出如下结果:
因为使用Statement不仅会存在字符串拼接的复杂问题,还会导致SQL注入的风险;因此JDBC中针对该问题从
Statement接口还扩展了一个子接口java.sql.PraparedStatement用于解决以上问题:
PreparedStatement
PreparedStatement是从Statement接口继承而来,使用该接口可以有效的避免sql注入以及字符串拼接的问题:
public static boolean login(String name, String pwd) throws SQLException {
String sql = "select * from user where username=? and password=?";
ResultSet rs = null;
//JDK1.7新增特性
try (
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost/test1", "root", "123456");
//获取预编译sql的对象(已经完成的sql语句预编译)
PreparedStatement ps = conn.prepareStatement(sql);
) {
//预处理(向sql语句指定位置的占位符填充实际值)
ps.setString(1, name);
ps.setString(2, pwd);
//执行
rs = ps.executeQuery();
if (rs.next()) {
return true;
}
} finally {
rs.close();
}
return false;
}
因为PreparedStatement使用的是预处理SQL语句的方式,所以不存在SQL注入风险;所以在日常使用JDBC中,我们都会去使用PreparedStatement;
我们在看过了上面的两个代码块后,我们不由得会有一个疑问,为什么查询语句的返回值是布尔类型?为什么不能直接返回出查询出来的结果呢?
在这里我们就要用到我们的结果集对象:ResultSet
ResultSet是结果集对象,用于表示对于查询语句执行之后的结果,内部的数据可能是一条也可以是多条
用法:
public static void queryAll() throws SQLException {
String sql = "select * from user";
//获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost/test1", "root", "123456");
//获取执行sql语句的对象
PreparedStatement ps = conn.prepareStatement(sql);
//执行查询
ResultSet rs = ps.executeQuery();
while (rs.next()) {
int uid = rs.getInt(1); //rs.getInt("id")
String username = rs.getString(2);//rs.getString("username")
String password = rs.getString(3);//rs.getString("password")
int status = rs.getInt(4); //rs.getInt("status")
String nickname = rs.getString(5);//rs.getString("nickname")
System.out.println(uid+"/"+username+"/"+password+"/"+status+"/"+nickname);
}
//关闭连接
rs.close();
ps.close();
conn.close();
}
结果是以字符串拼接的方式输出的;
以上这些就是一些JDBC的入门知识;