JDBC入门

JDBC基础操作

JDBC全称:
Java DataBase Connectivity;是由SUN公司提供的一套通用的Java连接数据的标准（接口），这套接口用于屏蔽数据库之间的差异（方言），使得Java程序员可以专注于处理数据而不需要考虑数据库之间的差异；
简单来说:JDBC就是Java用来连接数据库的工具,在java中的一些常用的类都是接口,因为数据库都不同，所以需要各方数据库公司来实现JDBC标准;
JDBC分为六大步骤：
// 1.加载数据库驱动
Class.forName(“com.mysql.jdbc.Driver”);
// 2.获取数据库连接对象
Connectionconn=
DriverManager.getConnection(“jdbc:mysql://localhost:3306/test”, “root”, “123456”);
// 3.获取处理sql语句的对象
Statement stat = conn.createStatement();
// 4.执行sql(当执行结果为resultset（执行select操作时）时返回值为true，其他任何时候都是false)
boolean f = stat.execute
(“insert into user(username,password,nickname) values(‘softeem’,‘soft123’,‘软帝’)”);
// 5.处理结果
System.out.println(“执行结果：”+f);
// 6.关闭资源
stat.close(); conn.close();
以上JDBC代码以Mysql数据库为例
在我们用JDBC连接Mysql数据库的时候，有几个常用类
1.DriveManager
DriverManager是java.sql包中提供的一个用于进行数据库驱动管理的工具类，对于驱动的注册，以及连接的获取都
可以通过DriverManager来完成，另外从jdbc4开始，不再需要显示的使用
Class.forName(“com.mysql.jdbc.Driver”)加载驱动；因为DriverManager会自动寻找驱动包里面的以下文件:

DriverManager常用方法
getConnection(String url,String user,String password)
这个方法在API中的解释是：尝试建立与给定数据库URL的连接。
第一个参数用来放连接
第二个参数用来放数据库用户名
第三个参数用来放数据库登录密码

2.Connection
Connection是JDBC中的核心接口位于java.sql包，用于实现应用程序和数据库管理系统（DBMS）进行通信一个通道，通过该接口可以向数据库发送可以执行sql脚本，以及将执行之后的结果返回到程序中。connection即数据
库与应用程序之间的一个会话(session)

Connection常用方法
createStatement() :获取一个用于执行sql语句的执行对象，主要用于执行静态的sql（存在SQL注入风险）
parepareStatement(String sql) :获取一个预处理sql语句的执行对象，预先对sql语句编译，一般用于执行动态sql（解决SQL注入风险）
prepareCall(String sql)：获取一个用于预处理sql存储过程的执行对象，主要用于执行存储过程（procedure）
setAutoCommit(boolean b)：设置事物是否自动提交
commit()：提交事务
rollback()：事物回滚
getMetaData(): 获取数据库的元数据对象（DatabaseMetaData），包含了数据库的详细信息
3.Statement
Statement是来自java.sql包中用于执行sql语句的处理接口对象，该接口声明了一些用于执行sql语句的相关方法。
常见如下：
execute(String sql)：用于执行任何的sql语句
executeQuery(String sql)：主要用于执行sql查询(Select)操作
executeUpdate(String sql)：主要用于执行sql更新(insert,update,delete)操作以及DDL操作
addBatch(String sql)：用于将sql语句添加到当前Statement对象的命令列表中用于批量执行sql
executeBatch()：用于将一批（多条sql）sql命令同时执行
getResultSet()：获取执行当前SQL语句之后的结果集对象（ResultSet）
getGeneratedKeys()：获取自动生成的键所在结果集

具体使用如下：

 public static void main(String[] args) throws ClassNotFoundException, SQLException {
        //1.加载数据库驱动(从jdbc4.0开始不在需要显示Class.forName("com.mysql.jdbc.Driver")加载驱动)
  //      Class.forName("com.mysql.jdbc.Driver");

        //2.获取数据库连接对象
        Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test1", "root", "123456");

        //3.获取处理sql语句的对象
        Statement stat = conn.createStatement();

  		//4.执行sql(当执行结果为resultset(执行select时)时,则返回值为true,其他任何时候返回值都为false)
        boolean f = stat.execute("insert into user(username,password,nickname) values('admin','123456','郝建')");

        //5.处理结果
        System.out.println("执行结果" + f);

        //6.释放资源
        stat.close();
        conn.close();
    }

Statement虽然是用来处理sql语句的接口，
但是它有一个致命的缺陷，那就是:SQL注入
观察以下代码

public static boolean login(String name, String pwd) throws SQLException, ClassNotFoundException {
        String sql = "select * from user where username='" + name + "' and password='" + pwd + "'";
        Connection conn = null;
        Statement stat = null;
        try {
            conn = DriverManager.getConnection("jdbc:mysql://localhost/test1", "root", "123456");
            stat = conn.createStatement();

            //(执行查询并且获取结果集)
            ResultSet rs = stat.executeQuery(sql);
            //判断结果集中是否存在可用结果
            if (rs.next()) {
                return true;
            }
        } finally {
            stat.close();
            conn.close();
        }

        return false;
    }

通过上面的代码我们可以得知，在调用此方法时，我们必须给定正确的字段值才能够查询出数据库的结果;
但是，当我们用如下格式调用此方法时,我们的方法还是会返回true

boolean b = login("addasdfasf", "'1'='1");

分析得知，无论账号如何提供，子需要密码按照第二个参数的写法，即可绕过登录过程直接输出如下结果:
因为使用Statement不仅会存在字符串拼接的复杂问题，还会导致SQL注入的风险；因此JDBC中针对该问题从
Statement接口还扩展了一个子接口java.sql.PraparedStatement用于解决以上问题:
PreparedStatement
PreparedStatement是从Statement接口继承而来，使用该接口可以有效的避免sql注入以及字符串拼接的问题:

public static boolean login(String name, String pwd) throws SQLException {
        String sql = "select * from user where username=? and password=?";
        ResultSet rs = null;
        //JDK1.7新增特性
        try (
                Connection conn = DriverManager.getConnection("jdbc:mysql://localhost/test1", "root", "123456");
                //获取预编译sql的对象(已经完成的sql语句预编译)
                PreparedStatement ps = conn.prepareStatement(sql);

        ) {
            //预处理（向sql语句指定位置的占位符填充实际值）
            ps.setString(1, name);
            ps.setString(2, pwd);
            //执行
            rs = ps.executeQuery();
            if (rs.next()) {
                return true;
            }
        } finally {
            rs.close();
        }

        return false;
    }

因为PreparedStatement使用的是预处理SQL语句的方式，所以不存在SQL注入风险;所以在日常使用JDBC中，我们都会去使用PreparedStatement;

我们在看过了上面的两个代码块后，我们不由得会有一个疑问，为什么查询语句的返回值是布尔类型？为什么不能直接返回出查询出来的结果呢？
在这里我们就要用到我们的结果集对象:ResultSet
ResultSet是结果集对象，用于表示对于查询语句执行之后的结果，内部的数据可能是一条也可以是多条
用法：

public static void queryAll() throws SQLException {
        String sql = "select * from user";
        //获取连接
        Connection conn = DriverManager.getConnection("jdbc:mysql://localhost/test1", "root", "123456");
        //获取执行sql语句的对象
        PreparedStatement ps = conn.prepareStatement(sql);
        //执行查询
        ResultSet rs = ps.executeQuery();
        while (rs.next()) {
            int uid = rs.getInt(1);           //rs.getInt("id")
            String username = rs.getString(2);//rs.getString("username")
            String password = rs.getString(3);//rs.getString("password")
            int status = rs.getInt(4);        //rs.getInt("status")
            String nickname = rs.getString(5);//rs.getString("nickname")
            System.out.println(uid+"/"+username+"/"+password+"/"+status+"/"+nickname);
        }
        //关闭连接
        rs.close();
        ps.close();
        conn.close();
    }

结果是以字符串拼接的方式输出的;
以上这些就是一些JDBC的入门知识;