目录
Q:为什么可以不要class.forname加载驱动程序呢?
一.JDBC API
在Java JDBC编程中对数据库的操作均使用JDK自带的API统一处理,通常与特定数据库的驱动类是完全解耦的。所以掌握Java JDBC API (位于 java.sql 包下) 即可掌握Java数据库编程。
二.数据库连接Connection
Connection接口实现类由数据库提供,获取Connection对象通常有两种方式:
- 一种是通过DriverManager(驱动管理类)的静态方法获取:(不常用)
// 加载JDBC驱动程序
Class.forName("com.mysql.jdbc.Driver");
// 创建数据库连接
Connection connection = DriverManager.getConnection(url);- 一种是通过DataSource(数据源)对象获取。实际应用中会使用DataSource对象。(常用)
MysqlDataSource ds = new MysqlDataSource();
ds.setUrl("jdbc:mysql://localhost:3306/test");
ds.setUser("root");
ds.setPassword("root");
Connection connection = ds.getConnection();Q:以上两种连接方式的区别是:
1. DriverManager类来获取的Connection连接,是无法重复利用的,每次使用完以后释放资源时,通过connection.close()都是关闭物理连接。
2. DataSource提供连接池的支持。连接池在初始化时将创建一定数量的数据库连接,这些连接是可以复用的,每次使用完数据库连接,释放资源调用connection.close()都是将Conncetion连接对象回收,回收将重置connection的属性。(抹除使用痕迹,重新放到池子里,不关闭物理连接)。
享元模式(第二种连接方式就采用了这个):重复使用资源,在初始化的时候就创建多个(可以手动指定数量),每次使用完再还原——所有使用者共享资源。不用每次创建资源(效率低),以便提高性能。
Q:为什么可以不要class.forname加载驱动程序呢?
因为在new MySQLDataSource的时候,它里面已经帮我们加载了一些驱动了。
三.Statement对象
Statement对象主要是将SQL语句发送到数据库中。JDBC API中主要提供了三种Statement对象。
- PreparedStatement执行速度更快是因为他进行了预编译
- PreparedStatement也可以执行不带占位符的sql
- 一个占位符不能代表多个值
- 4.关于常见SQL注入攻击:利用sql的语法,把or上一个true,把所有元素都打印了出来,这是很危险的,普通的Statement无法阻止,但是PreparedStatement可以阻止。
printList(query("计算机系1班' or '1'='1"))我们可以看看他们最后执行的sql语句:
普通Statement:传入的字符串参数与原sql语句结合,引起错误
where cla.name = '计算机1班' or '1'='1'PreparedStatement:传入的字符串纯纯当做字符串处理了,’甚至使用了转义字符
where cla.name = '计算机1班\' or \'1\'=\'1'Q:三种操作命令对象的作用(区别):
1.Statement:简单的sql
2.PreparedStatement:可以执行带占位符的sql,预编译
执行效率更高
防止sql注入(通过单引号转义)
3.CallableStatement:执行存储过程
622
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
