1.数据库编程的必备条件
- 编程语言,如Java,C、C++、Python等
- 数据库,如Oracle,MySQL,SQL Server等
- 数据库驱动包:不同的数据库,对应不同的编程语言提供了不同的数据库驱动包(数据库官方提供的给各编程语言进行数据库连接、sql操作的API),如:MySQL提供了Java的驱动包mysql-connector-java,需要基于Java操作MySQL即需要该驱动包。同样的,要基于Java操作Oracle数据库则需要Oracle的数据库驱动包ojdbc
2.Java的数据库编程:JDBC
JDBC,即Java Database Connectivity,java数据库连接。是一种用于执行SQL语句的Java API,它是Java中的数据库连接规范。这个API由 java.sql.* , javax.sql.* 包中的一些类和接口组成,它为Java开发人员操作数据库提供了一个标准的API,可以为多种关系数据库提供统一访问
3.JDBC工作原理
JDBC为多种关系的数据库提供了统一访问方式,作为特定厂商数据库访问API的一种高级抽象,它主要包含一些通用的接口类
JDBC访问数据库层次结构:
JDBC优势:
- Java语言访问数据库操作完全面向接口编程,降低程序耦合度
- 开发数据库应用不用限定在特定数据库厂商的API
- 程序的可移植性大大增强
4.JDBC使用
4.1 JDBC开发案例
- 准备数据库驱动包,并添加到项目的依赖中:
在项目中创建文件夹lib,并将依赖包mysql-connector-java-5.1.47.jar复制到lib中。再配置该jar包到本项目的依赖中:右键点击项目Open Module Settings,在Modules中,点击项目,配置Dependencies,点击+,JARS or Directories,将该lib文件夹配置进依赖中,表示该文件夹下的jar包都引入作为依赖 (关于这里操作我会专门写一篇博客总结我们这里和之后将会用到的所有软件安装及相应的环境变量配置,到时候会把链接插入到下方,方便参考学习)
- 建立数据库连接
// 加载JDBC驱动程序:反射,这样调用初始化com.mysql.jdbc.Driver类,即将类加载到JVM方法区,并执行该类的静态方法块、静态属性。
Class.forName("com.mysql.jdbc.Driver");
// 创建数据库连接
Connection connection =
DriverManager.getConnection("jdbc:mysql://localhost:3306/test?user=root&password=root&useUnicode=true&characterEncoding=UTF-8");
这里记得修改自己的数据库名和密码,但是执行的时候编译器可能会有警告,我们在URL的请求参数里加上 useSSL=false,切记要用 & 连接
//MySQL数据连接的URL参数格式如下:
jdbc:mysql://服务器地址:端口/数据库名?参数名=参数值
初识URL:
例如上面所给的URL中:
jdbc:mysql 就是协议
localhost 就是域名或IP
3306 就是端口号
test 就是数据库名
请求数据: 问号前面部分表示访问的全路径,问号后面表示请求数据(key1=value1&key2=value2)
协议: 网络数据传输约定的统一数据格式(http,https)
域名: 基于DNS协议转换为IP地址,localhost是本机域名
IP地址: 网络连接中,标识网络上唯一的主机地址(给用户的逻辑地址)
端口号: 定位某台主机中,唯一的应用程序
URI: 包含了URL(全路径、绝对路径),相对路径
这些现在不明白不用着急,后面我们也会慢慢学习到
- 创建操作命令(Statement)
Statement statement = Connection.createStatement();
- 执行SQL语句
ResultSet resultSet = statement.executeQuery(
"select id,name,salsary from emp"
);
- 处理结果集,类比Java中 List<map<String,字段类型>>
while (resultSet.next()) {
int id = resultSet.getInt("id");
String name = resultSet.getString("name");
BigDecimal = resultSet.getBigDecimal("salarey");
System.out.printf("id=%s,name=%s,salary=%s%n",id,name,salary);
}
- 释放资源(关闭结果集,命令,连接)
//关闭结果集
if (resultSet != null) {
try {
resultSet.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
//关闭命令
if (statement != null) {
try {
statement.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
//关闭连接命令
if (connection != null) {
try {
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
将上面代码进行整合:
代码示例:
import java.sql.*;
public class TestDemo {
public static void main(String[] args) {
Connection connection = null;
Statement statement = null;
ResultSet resultSet = null;
try {
// 加载JDBC驱动程序:反射,这样调用初始化com.mysql.jdbc.Driver类,即将该类加载到JVM方法区,并执行该类的静态方法块、静态属性。
Class.forName("com.mysql.jdbc.Driver");
// 第一步:创建数据库连接
connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/chong?user=root&password=19991230&useUnicode=true&useSSL=false&characterEncoding=UTF-8");
//检测是否连接成功
System.out.println(connection);
// 第二步:创建了操作命令对象
statement = connection.createStatement();
// 第三步:执行sql
resultSet = statement.executeQuery("select id,name,salary from emp");
// 第四步:处理结果集ResultSet(类似List<Map<String, 字段类型>>)
while (resultSet.next()) {//遍历每一行数据
int id = resultSet.getInt("id");
String name = resultSet.getString("name");
BigDecimal salary = resultSet.getBigDecimal("salary");
System.out.printf("id=%s, name=%s,salary=%s%n",
id, name, salary);
}
} catch (Exception e) {
e.printStackTrace();
} finally {
//释放资源
try {
if (resultSet != null)
resultSet.close();
if (statement != null)
statement.close();
if (connection != null)
connection.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
}
结果演示
com.mysql.jdbc.JDBC4Connection@25f38edc
id=1, name=张三,salary=10000.50
id=2, name=李四,salary=9900.00
id=3, name=王五,salary=12300.99
id=4, name=牛大发,salary=10000.50
id=5, name=翠花,salary=10000.00
id=6, name=李漂亮,salary=11000.00
4.2 JDBC使用步骤总结
- 创建数据库连接Connection
- 创建操作命令对象Statement
- 执行SQL语句
- 处理结果集ResultSet
- 释放资源
5.JDBC常用的接口和类
5.1 JDBC API
在Java JDBC编程中对数据库的操作均使用JDK自带的API统一处理,通常与特定数据库的驱动类是完全解耦的。所以掌握Java JDBC API (位于 java.sql 包下) 即可掌握Java数据库编程
5.2 数据库连接Connection
Connection接口实现类由数据库提供,获取Connection对象通常有两种方式:
一种是通过DriverManager(驱动管理类) 的静态方法获取
// 加载JDBC驱动程序
Class.forName("com.mysql.jdbc.Driver");
// 创建数据库连接
Connection connection = DriverManager.getConnection(url);
一种是通过DataSource (数据源) 对象获取,实际应用中会使用DataSource对象
DataSource ds = new MysqlDataSource();
((MysqlDataSource) ds).setUrl("jdbc:mysql://localhost:3306/test");
((MysqlDataSource) ds).setUser("root");
((MysqlDataSource) ds).setPassword("root");
Connection connection = ds.getConnection();
代码示例:
//创建数据库连接池
DataSource dataSource = new MysqlDataSource();
((MysqlDataSource) dataSource).setUrl("jdbc:mysql://localhost:3306/chong?user=root&password=19991230&useUnicode=true&useSSL=false&characterEncoding=UTF-8");
// 第一步:创建数据库连接
connection = dataSource.getConnection();
//检测是否连接成功
System.out.println(connection);
// 第二步:创建了操作命令对象
statement = connection.createStatement();
这两种方式的区别是:
- DriverManager类来获取的Connection连接,是无法重复利用的,每次使用完以后释放资源时,通过connection.close()都是关闭物理连接
- DataSource提供连接池的支持。连接池在初始化时将创建一定数量的数据库连接,这些连接是可以复用的,每次使用完数据库连接,释放资源调用connection.close()都是将Conncetion连接对象回收,回收将重置Connection对象的属性
5.3 Statement对象
Statement对象主要是将SQL语句发送到数据库中,JDBC API中主要提供了三种Statement对象
我们就刚刚的代码来给大家演示一下:
我们将刚刚sql语句加上where条件,那么此时打印出来的结果应该是只有两条的
代码示例:
public class TestDemo3 {
public static void main(String[] args) {
query("李");
}
public static void query(String queryName) {
Connection connection = null;
Statement statement = null;
ResultSet resultSet = null;
try {
//创建数据库连接池
DataSource dataSource = new MysqlDataSource();
((MysqlDataSource) dataSource).setUrl("jdbc:mysql://localhost:3306/chong?user=root&password=19991230&useUnicode=true&useSSL=false&characterEncoding=UTF-8");
// 第一步:创建数据库连接
connection = dataSource.getConnection();
//检测是否连接成功
//System.out.println(connection);
// 第二步:创建了操作命令对象
statement = connection.createStatement();
// 第三步:执行sql
String sql = "select id,name,salary from emp where name like '%"+queryName+"%'";
//System.out.println(sql);
resultSet = statement.executeQuery(sql);
// 第四步:处理结果集ResultSet(类似List<Map<String, 字段类型>>)
while (resultSet.next()) {//遍历每一行数据
int id = resultSet.getInt("id");
String name = resultSet.getString("name");
BigDecimal salary = resultSet.getBigDecimal("salary");
System.out.printf("id=%s, name=%s,salary=%s%n",
id, name, salary);
}
} catch (Exception e) {
e.printStackTrace();
} finally {
//释放资源
try {
if (resultSet != null)
resultSet.close();
if (statement != null)
statement.close();
if (connection != null)
connection.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
}
结果演示
id=2, name=李四,salary=9900.00
id=6, name=李漂亮,salary=11000.00
但是如果此时我们将传入的参数改成下面这样:
代码示例:
query("李四 'or '1' = '1");
并且将sql语句改变一下where条件
String sql = "select id,name,salary from emp where name = '"+queryName+"'";
我们再来看运行结果:
id=1, name=张三,salary=10000.50
id=2, name=李四,salary=9900.00
id=3, name=王五,salary=12300.99
id=4, name=牛大发,salary=10000.50
id=5, name=翠花,salary=10000.00
id=6, name=李漂亮,salary=11000.00
Process finished with exit code 0
此时我们发现显示了所有的结果,这到底是为什么?其实很简单,我们把上面的sql语句打印出来就能知道原因
select id,name,salary from emp where name = '李四 'or '1' = '1'
这就是为什么会打印出所有行的原因,我们也把这种做法叫作SQL注入,举个栗子,假如现在有个用户发送一个请求,此时应该给该用户返回他想要的资源文件,但是却因为SQL注入返回了全部的资源文件,试问这些资源文件如果是保密的呢?比方说你的银行卡密码等等,所以我们要做的就是避免发生这种现象,因此我们要使用PreparedStatement对象
代码示例:
public class TestDemo4 {
public static void main(String[] args) {
query("李四 'or '1' = '1");
}
public static void query(String queryName) {
Connection connection = null;
PreparedStatement statement = null;
ResultSet resultSet = null;
try {
//创建数据库连接池
DataSource dataSource = new MysqlDataSource();
((MysqlDataSource) dataSource).setUrl("jdbc:mysql://localhost:3306/chong?user=root&password=19991230&useUnicode=true&useSSL=false&characterEncoding=UTF-8");
// 第一步:创建数据库连接
connection = dataSource.getConnection();
//检测是否连接成功
//System.out.println(connection);
//?表示占位符
String sql = "select id,name,salary from emp where name like ?";
// 第二步:创建了操作命令对象(带占位符的sql在数据库中预编译,可以提高效率,占位符的方式可以防止sql注入)
statement = connection.prepareStatement(sql);
//替换占位符
statement.setString(1,"%"+queryName+"%");
// 第三步:执行sql
//不需要再添加参数
resultSet = statement.executeQuery();
// 第四步:处理结果集ResultSet(类似List<Map<String, 字段类型>>)
while (resultSet.next()) {//遍历每一行数据
int id = resultSet.getInt("id");
String name = resultSet.getString("name");
BigDecimal salary = resultSet.getBigDecimal("salary");
System.out.printf("id=%s, name=%s,salary=%s%n",
id, name, salary);
}
} catch (Exception e) {
e.printStackTrace();
} finally {
//释放资源
try {
if (resultSet != null)
resultSet.close();
if (statement != null)
statement.close();
if (connection != null)
connection.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
}
此时输出没有结果,我们可以通过打印statement来观察sql语句变成了什么样子
statement = connection.prepareStatement(sql);
结果演示
com.mysql.jdbc.JDBC42PreparedStatement@22d8cfe0: select id,name,salary from emp where name like '%李四 \'or \'1\' = \'1%'
我们发现sql语句被转义,从而防止了sql注入
实际开发中最常用的是PreparedStatement对象,以下对其的总结:
Statement和PreparedStatement的区别?为什么使用PreparedStatement?
- 效率更高:预编译
- 更安全:防止sql注入(单引号转义)
主要掌握两种执行SQL的方法:
- executeQuery() 方法执行后返回单个结果集的,通常用于select语句
- executeUpdate()方法返回值是一个整数,指示受影响的行数,通常用update、insert、delete语句
代码示例:
修改操作
public class TestDemo5 {
public static void main(String[] args) {
update("李");
}
public static void update(String updateName) {
Connection connection = null;
PreparedStatement statement = null;
try {
//创建数据库连接池
DataSource dataSource = new MysqlDataSource();
((MysqlDataSource) dataSource).setUrl("jdbc:mysql://localhost:3306/chong?user=root&password=19991230&useUnicode=true&useSSL=false&characterEncoding=UTF-8");
// 第一步:创建数据库连接
connection = dataSource.getConnection();
//检测是否连接成功
//System.out.println(connection);
//?表示占位符
String sql = "update emp set salary = salary+100 where name like ?";
// 第二步:创建了操作命令对象(带占位符的sql在数据库预编译,可以提高效率,占位符的方式可以防止sql注入)
statement = connection.prepareStatement(sql);
//替换占位符
statement.setString(1,"%"+updateName+"%");
System.out.println(statement);
// 第三步:执行sql
//得到结果 int类型
//新增/修改/删除操作都是executeUpdate
int result = statement.executeUpdate();
System.out.println(result);
} catch (Exception e) {
e.printStackTrace();
} finally {
//释放资源
try {
if (statement != null)
statement.close();
if (connection != null)
connection.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
}
结果演示
2
5.4 ResultSet对象
ResultSet对象它被称为结果集,它代表符合SQL语句条件的所有行,并且它通过一套getXXX方法提供了对这些行中数据的访问
ResultSet里的数据一行一行排列,每行有多个字段,并且有一个记录指针,指针所指的数据行叫做当前数据行,我们只能来操作当前的数据行。我们如果想要取得某一条记录,就要使用ResultSet的next()方法 ,如果我们想要得到ResultSet里的所有记录,就应该使用while循环
6.内容重点总结
JDBC使用步骤:
- 创建数据库连接Connection
使用DataSource对象 - 创建操作命令对象Statement
PreparedStatement - 使用操作命令执行SQL语句
// 查询操作
preparedStatement.executeQuery();
// 新增、修改、删除操作
preparedStatement.executeUpdate();
- 处理结果集ResultSet
while (resultSet.next()) {
int xxx = resultSet.getInt("xxx");
String yyy= resultSet.getString("yyy");
...
}
- 释放资源
使用try catch语句来释放资源
63
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
