JDBC介绍

JDBC（Java Data Base Connection）Java中提供的一套操作数据库的API接口，用于java语言连接操作数据库

常用API组件

DriverManager：这个类是驱动管理类，管理一系列数据库驱动程序，用于建立和数据库的连接
Connection:该接口具有接触数据库所有的方法，表示和数据库通信的上下文对象
Statement：该对象将SQL提交到数据库
ResultSet：SQL查询语句的结果集通过resultSet返回给用户
SQLException：该类是和数据库交互中任何错误

JDBC使用

1、引入MySQL驱动
通过maven引入依赖

      <!--MySQL的驱动依赖-->
      <dependency>
          <groupId>mysql</groupId>
          <artifactId>mysql-connector-java</artifactId>
          <version>5.1.39</version>
      </dependency>

2、jdbc连接数据库编程

            //1、加载数据库驱动  MySQL-》com.mysql.jdbc.Driver
            Class.forName("com.mysql.jdbc.Driver");


            //连接数据库
            /**
             * DriverManager管理连接
             *Connection getConnection(String url,String user, String password)
             * url:jdbc:mysql://120.0.0.1:3306/test
             * user:用户名
             * password：密码
             */
            Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/test", "root", "123456");
            System.out.println("连接成功");
            
            


            //获取Statement结果
            Statement statement = connection.createStatement();

            //修改数据
            String sql1 = "update student set Sname='tulun' where SID=18 ";
            int i = statement.executeUpdate(sql1);


            //查询数据库
            String sql ="select * from student";
            ResultSet resultSet = statement.executeQuery(sql);

            //对结束处理
            while (resultSet.next()) {
                String sname = resultSet.getString("Sname");
                System.out.println(sname);
            }

            //关闭资源
            resultSet.close();
            statement.close();
            connection.close();


        } catch (Exception e) {
            System.out.println("连接失败");
            e.printStackTrace();
        }

编程步骤：
1、引入mysql-connector-java依赖包
2、引入MySQL驱动
3、DriverManager连接数据库获取Connection对象
4、通过Connection获取Statement对象进行SQL操作
5、如果是查询操作处理结果集：ResultSet
6、关闭资源

常用API

Connection接口：数据库连接的对象
获取Statement对象：
PreparedStatement prepareStatement(String sql) ：获取PreparedStatement对象
Statement createStatement() ：获取Statement对象
CallableStatement prepareCall(String sql) :获取CallableStatement对象
处理事务：void commit() 提交事务
Statement接口：用来执行SQL语句
boolean execute(String sql):提交SQL语句 返回Boolean类型 可以提交变更操作（插入、删除、修改）
int executeUpdate(String sql) ：提交执行DML语言，返回结果表示影响数据库数据行数
ResultSet executeQuery(String sql):执行查询操作，返回的结果在ResultSet中
ResultSet():返回结果集
boolean next()：判断是否还有数据，每调用一次获取的是数据库对应的一行记录
问题：PreparedStatement和Statement的区别

            //获取Statement结果
            Statement statement = connection.createStatement();
            //修改数据
            String sql1 = "update student set Sname='tulun' where SID=18 ";
            int i = statement.executeUpdate(sql1);


            /**
             * PreparedStatement
             * 采用预编译机制处理
             * SQL和参数分别传递
             * SQL上参数的位置通过占位符'？'处理
             * preparedStatement.setString 起始位置为1 
             */
            //需要将SQL和参数分别传递，采用了预编译机制 '?'占位符
            String sql2="update student set Sname = ?  where SID = ?";
            PreparedStatement preparedStatement = connection.prepareStatement(sql2);
            preparedStatement.setString(1,"tulun1");
            preparedStatement.setString(2,"18");

            preparedStatement.execute();

SQL注入问题及解决方案

SQL注入：利用非法的SQL拼接来达到入侵数据库的目的
以登录为例：

/**
     * 登录方法
     */
    boolean doLogin(String name, String passwd) {
        boolean result = false;
        try {
            //1、加载数据库驱动  MySQL-》com.mysql.jdbc.Driver
            Class.forName("com.mysql.jdbc.Driver");


            Connection connection = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/test", "root", "123456");
            System.out.println("连接成功");

            //获取Statement结果
            Statement statement = connection.createStatement();

            //查询数据库
            String sql = "select * from user where name='"+name+"' and passwd = '"+passwd+"'";
            ResultSet resultSet = statement.executeQuery(sql);

            if (resultSet.next()) result = true;


            //关闭资源
            resultSet.close();
            statement.close();
            connection.close();


        } catch (Exception e) {
            System.out.println("连接失败");
            e.printStackTrace();
        }

        return result;
    }

        String name = "12345  ";
        String passwd = "12343563445";

        //select * from user where name = 12345 or 1=1  and passwd =  32453425

        UserDao userDao = new UserDao();
        boolean login = userDao.doLogin(name, passwd);
        if (login) {
            System.out.println("用户登录成功");
        } else {
            System.out.println("用户名或密码错误，请重新登录");
        }

在上述代码中，用户名和密码来和SQL进行拼接查询数据库，查询操作是需要用户名和密码正确才能执行成功。
将name参数写成”name = 12345 or 1=1 and passwd=1234“ name参数拼接中通过非法的SQL拼接达到修改SQL语义，就达到了入侵数据库的目的 当name = 12345或者 1=1and passwd=1234 后面中只要任何一个成绩即可 1=1 为true ，就不在判断passwd是否正确，因此对应登录操作给定用户名，不知道密码情况下也能完成登陆。

SQL注入问题解决方案：

使用PreparedStatement解决：

将SQL及参数分别传递到MySQL服务端，会先进行SQL语义检查
能够规避SQL注入问题，建议使用prepareStatement来处理JDBC连接数据库问题

JDBC处理事务

            /**
             * 事务操作
             * 在COnnection中也提供相应方法
             */
            connection.setAutoCommit(false); //true  自动提交  false：手动提交  首先要取消自动提交
            connection.commit();  //事务提交
            connection.rollback();//事务回滚
            /**
             *  int TRANSACTION_NONE             = 0;  不提供事务
             *int TRANSACTION_READ_UNCOMMITTED = 1;  未提交事务
             *int TRANSACTION_READ_COMMITTED = 2;   读已提交事务
             *int TRANSACTION_REPEATABLE_READ = 4;   可重复事务
             *int TRANSACTION_SERIALIZABLE = 8;      串行化事务
             * 
             * 
             * 
             * 
             * try {
             *  connection.setAutoCommit(false);
             *    sql操作
             *    
             *    connection.commit();
             *     
             * } execption(e){
             *     
             *     connection.rollback();
             * }
             * 
             */

实现：