Java 程序通过jdbc来操作JDBC DriverManager(管理器)
JDBC DriverManager管理来操作不同的数据库驱动
常用的驱动:
1.Oracle驱动程序
2.MySQL驱动程序
jdbc 提供——>(接口,方法,类) API
JDBC API:提供各种操作、访问接口(connection statement prepared statement resultset)
各种数据库驱动:连接/直接操作数据库
由相应的数据库厂商提供(第三方公司提供)
JDBC API 主要功能:
具体通过以下类/接口实现:
DriverManager 管理jdbc驱动
Connection:连接(通过DriverManager产生)
Statement (preparedstatement):增删改查 (通过Connection产生)
CallableStatement:调用数据库中的存储过程/存储函数(通过Connection产生)
Resultset:返回的结果集(通过上面的Statement产生)
Connection产生操作数据库的对象:
Connection产生Statement对象(通过createStatement()方法产生)
Connection产生prepareStatement对象:prepareStatement()
Connection产生CallableStatement对象:prepareCall()
Statement操作数据库:
增删改:executeUpdate()
查询:executeQuery()
ResultSet:保存结果集
( select * from xxx)
next():光标下移,判断是否有下一个数据,有则返回true,没有则返回false
previous():光标上移
getxxx(字段名/位置):获取具体的字段位置
prepareStatement操作数据库:
public interface PrepareStatement extends Steatement
PrepareStatement 是Steatement的子接口(子类实现父类,子类功能更加强大)
因此
增删改:executeUpdate()
查询:executeQuery()
赋值操作:setxxx()
PrepareStatement 与Steatement在使用时的区别:
1.statement
sql
executeUpdate(sql)
2.PrepareStatement
sql(可能存在占位符?)
在创建PrepareStatement 对象时,将sql进行预编译PrepareStatement (sql)
executeUpdate()
setxxx()替换占位符?
推荐使用PrepareStatement
原因如下:
1.编码更加简便(避免了字符串拼接)
statement:
String name="zs";
int age="23";
String sql="insert into student(stuno,stuname) values('"+name+"',"+age+")";
stmt.executeUpdate(sql);
PrepareStatement :
String sql="insert into student(stuno,stuname) values(?,?)";
pstmt=connection.prepareStatement(sq);//预编译sql
pstmt.setString(1,name);
pstmt.setInt(2,age);
pstmt.executeUpdate();
2.提高性能(因为有预编译操作,预编译值需要执行一次)
假设需要重复增加100条数
statement:
stmt.executeUpdate(sql);
//需要编译sql语句100次
perparestatement:
pstmt.executeUpdate();
//循环100次,不需要sql编译
3.安全(可以防止sql注入)
sql注入:将客户输入的内容和开发人员的SQL语句混为一体
stmt:存在被sql注入的风险
例如
输入:用户名: abc ’ or 1=1 –
密码:‘任意值
可以登录成功
select count() from login where uname='任意值"or 1=1 – and upwd=’任意值‘
–相当于把后面的内容注释掉了,1=1是真的,所以可以登录成功
select count() from login where uname=‘任意值"or 1=1 –
select count() from login
select count() from login where uname=’"+name+"’ and upwd=’"+pwd+"’
pstmt:可以防止sql注入
开发中推荐使用pstmt