十、JDBC

最新推荐文章于 2024-10-06 20:16:20 发布

@YXR

最新推荐文章于 2024-10-06 20:16:20 发布

阅读量1.6k

点赞数 16

分类专栏： JAVA 文章标签： java

本文链接：https://blog.csdn.net/qq_45443190/article/details/132170520

版权

JAVA 专栏收录该内容

10 篇文章 0 订阅

订阅专栏

本文介绍了JDBC的概念，展示了如何使用JDBC连接MySQL数据库，包括基本操作、PreparedStatement的使用以及防范SQL注入的方法。同时提到了数据库连接池的重要性，如DBCP、C3PO和Druid等开源解决方案。

摘要由CSDN通过智能技术生成

(一)、jdbc概念

java操作数据的驱动程序是这样的
在这里插入图片描述
有了jdbc后是这样的

由此可见，jdbc是为了简化开发人员对数据库的操作而产生的java操作数据库的规范。

JDBC连接mysql数据库的驱动点击这里

(二)、DBC使用案例

package JDBC.jdbcDemo;
import java.sql.*;

public class JDBCDemo01 {
    public static void main(String[] args) throws ClassNotFoundException, SQLException {
    加载驱动
    Class.forName("com.mysql.jdbc.Driver");
	String url = "jdbc:mysql://localhost:3306/test?useUnicode=true&cjaracterEncoding=utf-8&useSSL=true";
	String username = "root";
	String password = "root";
	// 使用url，username，password常见连接对象
	Connection connection = DriverManager.getConnection(url, username, password);
	
	// 创建sql执行对象
	Statement statement = connection.createStatement();
	String sql = "select * from student";
	执行sql返回结果集
	ResultSet resultSet = statement.executeQuery(sql);

	// 遍历得到结果
	while(resultSet.next()){
		System.out.println(resultSet.getObject("id"));
		System.out.println(resultSet.getObject("name"));
	}
	
	// 关闭资源(后使用的先关闭)
	resultSet.close();
	statement.close();
	connection.close();
    }
}

(三)、JDBC中常用方法

方法	描述
`statement.executeQuery();`	查询操作，返回查询结果集
`statement.execute()`;	可执行所有sql，但需要判断，效率比较低
`statement.executeUpdate();`	执行更新、插入、删除操作，返回受影响的行数
`resultSet.beForeFirst();`	将游标移到最前面
`resultSet.afterLast();`	将游标移动到最后面
`resultSet.next();`	将游标移动到下一行
`resultSet.previous();`	将游标移动到前一行
`resultSet.absolute();`	将游标移动到指定行

(四)、SQL注入

1、什么是SQL注入

一般登录时将用户输入的用户名和密码拼接成sql时这个样子:
select * from user where username = ‘1234’ and password = ‘qwer’
但是有人找到了漏洞，输入用户名和密码时这样输入
用户名：’ ’ or 1=1，密码：’ ’ or 1 = 1
使得字符串拼接成的sql语句为这样：
select * from user where username = ’ ’ or 1=1 and password = ’ ’ or 1 = 1;
这样也使得sql语句成立，从而查询出数据库的数据来。

2、防止SQL注入的方法

再使用jdbc时，sql语句执行对象使用PreparedStatement（预编译sql）,且该对象的执行效率更高

		PreparedStatement preparedStatement = connection.prepareStatement(sql);//预编译sql，先写sql，虽然不执行
        preparedStatement.setInt(1,4);
        preparedStatement.setString(2,"hx");
        //执行
        preparedStatement.executeUpdate();