概述
1.什么是JDBC
JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。是Java访问数据库的标准规范,是一个规范而不是一个实现。
2.JDBC,数据库,客户端三者的关系
JDBC编程
一.装载相应数据库的JDBC驱动:导入导入专用的jar包(不同的数据库需要的jar包不同)
1.下载jar包,可以在官方网站上下载
2.解压该jar包之后将其放到在项目的lib目录下
3.右键,点击Add as library...
二.JDBC编程的步骤
- 加载驱动
- 连接数据库 DriverManager
- 获得执行sql的对象 Statement
- 获得返回的结果集
- 释放连接
代码实现:
import java.sql.*;
// 我的第一个JDBC程序
public class JdbcFirstDemo {
public static void main(String[] args) throws ClassNotFoundException, SQLException { //1. 加载驱动
Class.forName("com.mysql.jdbc.Driver"); // 固定写法,加载驱动
//2. 用户信息和url
String url = "jdbc:mysql://localhost:3306/jdbcstudy? useUnicode=true&characterEncoding=utf8&useSSL=true";
String username = "root";
String password = "123456";
//3. 连接成功,数据库对象 Connection 代表数据库
Connection connection = DriverManager.getConnection(url, username, password);
//4. 执行SQL的对象 Statement 执行sql的对象
Statement statement = connection.createStatement();
//5. 执行SQL的对象 去 执行SQL,可能存在结果,查看返回结果
String sql = "SELECT * FROM users";
ResultSet resultSet = statement.executeQuery(sql); //返回的结果集,结果 集中封装了我们全部的查询出来的结果
while (resultSet.next()){
System.out.println("id=" + resultSet.getObject("id"));
System.out.println("name=" + resultSet.getObject("NAME"));
System.out.println("pwd=" + resultSet.getObject("PASSWORD"));
System.out.println("email=" + resultSet.getObject("email"));
System.out.println("birth=" + resultSet.getObject("birthday"));
System.out.println("=================================="); }
//6、释放连接
resultSet.close();
statement.close();
connection.close();
}
}
1.DriverManager
// DriverManager.registerDriver(new com.mysql.jdbc.Driver());
Class.forName("com.mysql.jdbc.Driver"); // 固定写法,加载驱动
Connection connection = DriverManager.getConnection(url, username, password);
// connection 代表数据库
connection.rollback(); // 事务滚回
connection.commit(); // 事务提交
connection.setAutoCommit();// 数据库设置自动提交
2.URL
String url = "jdbc:mysql://localhost:3306/jdbcstudy? useUnicode=true&characterEncoding=utf8&useSSL=true";
// mysql -- 3306
// 协议 ://主机地址:端口号/数据库名?参数1&参数2&参数3
// oralce -- 1521
//jdbc:oracle:thin:@localhost:1521:sid
3.Statement 执行SQL 的对象
String sql = "SELECT * FROM users"; // 编写SQL
statement.executeQuery(sql); //查询操作返回
statement.execute(); // 执行任何SQL
statement.executeUpdate(); // 更新、插入、删除。都是用这个,返回一个受影响的行数
4.ResultSet 查询的结果集:封装了所有的查询结果
获得指定的数据类型
resultSet.getObject(); // 在不知道列类型的情况下使用
// 如果知道列的类型就使用指定的类型
resultSet.getString();
resultSet.getInt();
resultSet.getFloat();
resultSet.getDate();
....
遍历指针
resultSet.beforeFirst(); // 移动到前面
resultSet.afterLast(); // 移动到后面
resultSet.next(); //移动到下一个数据
resultSet.previous(); //移动到前一行
resultSet.absolute(row); //移动到指定行
5.释放资源
//6、释放连接
resultSet.close();
statement.close();
connection.close(); // 耗资源,用完关掉!
三.statement对象 (重点学习)
Statement对象的executeUpdate方法,用于向数据库发送增、删、改的sql语句,executeUpdate执行完后,将会返回一个整数(即增删改语句导致了数据库几行数据发生了变化)。
CRUD操作-create
使用executeUpdate(String sql)方法完成数据添加操作,示例操作:
Statement st = conn.createStatement();
String sql = "insert into user(….) values(…..) ";
int num = st.executeUpdate(sql);
if(num>0){ System.out.println("插入成功!!!"); }
CRUD操作-delete
使用executeUpdate(String sql)方法完成数据删除操作,示例操作:
Statement st = conn.createStatement();
String sql = "delete from user where id=1";
int num = st.executeUpdate(sql);
if(num>0){ System.out.println(“删除成功!!!"); }
CRUD操作-update
使用executeUpdate(String sql)方法完成数据修改操作,示例操作:
Statement st = conn.createStatement();
String sql = "update user set name='' where name=''";
int num = st.executeUpdate(sql);
if(num>0){ System.out.println(“修改成功!!!"); }
CRUD操作-read
使用executeQuery(String sql)方法完成数据查询操作,示例操作:
Statement st = conn.createStatement();
String sql = "select * from user where id=1";
ResultSet rs = st.executeQuery(sql);
while(rs.next()){ //根据获取列的数据类型,分别调用rs的相应方法映射到java对象中 }
代码实现:
数据库的增删改:
import com.kuang.lesson02.utils.JdbcUtils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException; import java.sql.Statement;
public class TestInsert {
public static void main(String[] args) {
Connection conn = null;
Statement st = null;
ResultSet rs = null;
try {
conn = JdbcUtils.getConnection(); //获取数据库连接
st = conn.createStatement(); //获得SQL的执行对象
String sql = "INSERT INTO users(id,`NAME`,`PASSWORD`,`email`,`birthday`)" + "VALUES(4,'kuangshen','123456','24736743@qq.com','202001-01')"; -- 增
String sql = "DELETE FROM users WHERE id = 4"; --删除
String sql = "UPDATE users SET `NAME`='kuangshen',`email`='24736743@qq.com' WHERE id=1"; --改
int i = st.executeUpdate(sql);
if (i>0){ System.out.println("插入成功!"); }
} catch (SQLException e) { e.printStackTrace(); }
finally { JdbcUtils.release(conn,st,rs); }
}
}
SQL注入的问题:sql 存在漏洞,会被攻击导致数据泄露,SQL会被拼接 or
import com.lesson02.utils.JdbcUtils;
import java.sql.Connection; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement;
public class SQL注入 {
public static void main(String[] args) {
// login("kuangshen","123456");
login(" 'or '1=1"," 'or'1=1"); // 两边都为true,结果数据泄露
}
// 登录业务
public static void login(String username,String password){
Connection conn =null;
Statement st = null;
ResultSet rs = null;
try {
conn = JdbcUtils.getConnection();
st = conn.createStatement();
// SELECT * FROM users WHERE `Name` = 'kuangshen' AND `password` = '123456';
// SELECT * FROM users WHERE `Name` = '' or '1=1' AND `password` = '' or '1=1';
String sql = "select * from users where `NAME`='"+username+"' AND `password` ='"+password+"'";
rs = st.executeQuery(sql); //查询完毕会返回一个结果集
while (rs.next()){
System.out.println(rs.getString("NAME"));
System.out.println(rs.getString("password"));
System.out.println("============================");
}
} catch (SQLException e) { e.printStackTrace(); }
finally { JdbcUtils.release(conn,st,rs); }
}
}
四.PreparedStatement对象
PreparedStatement 可以防止SQL注入。效率更好!
1.新增
import com.kuang.lesson02.utils.JdbcUtils;
import java.sql.Connection; import java.util.Date; import java.sql.PreparedStatement; import java.sql.SQLException;
public class TestInsert {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement st = null;
try { conn = JdbcUtils.getConnection(); // 区别 // 使用? 占位符代替参数
String sql = "insert into users(id,`NAME`,`PASSWORD`,`email`,`birthday`) values(?,?,?,?,?)";
st = conn.prepareStatement(sql); //预编译SQL,先写sql,然后不执行
// 手动给参数赋值
st.setInt(1,4); //id
st.setString(2,"qinjiang");
st.setString(3,"1232112");
st.setString(4,"24734673@qq.com");
// 注意点: sql.Date 数据库 java.sql.Date() // util.Date Java new Date().getTime() 获得时间戳
st.setDate(5,new java.sql.Date(new Date().getTime()));
//执行
int i = st.executeUpdate();
if (i>0){ System.out.println("插入成功!"); }
} catch (SQLException e) { e.printStackTrace(); }
finally { JdbcUtils.release(conn,st,null); }
}
}
2.删除
import com.kuang.lesson02.utils.JdbcUtils;
import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.SQLException; import java.util.Date;
public class TestDelete {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement st = null;
try {
conn = JdbcUtils.getConnection(); // 区别 // 使用? 占位符代替参数
String sql = "delete from users where id=?";
st = conn.prepareStatement(sql); //预编译SQL,先写sql,然后不执行
// 手动给参数赋值
st.setInt(1,4);
//执行
int i = st.executeUpdate();
if (i>0){ System.out.println("删除成功!"); }
} catch (SQLException e) { e.printStackTrace(); }
finally { JdbcUtils.release(conn,st,null); }
}
}
3.更新
import com.kuang.lesson02.utils.JdbcUtils;
import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.SQLException;
public class TestUpdate {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement st = null;
try {
conn = JdbcUtils.getConnection(); // 区别 // 使用? 占位符代替参数
String sql = "update users set `NAME`=? where id=?;";
st = conn.prepareStatement(sql); //预编译SQL,先写sql,然后不执行
// 手动给参数赋值
st.setString(1,"狂神");
st.setInt(2,1);
//执行
int i = st.executeUpdate();
if (i>0){ System.out.println("更新成功!"); }
} catch (SQLException e) { e.printStackTrace(); }
finally { JdbcUtils.release(conn,st,null); }
}
}
4.查询
import com.kuang.lesson02.utils.JdbcUtils;
import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;
public class TestSelect { public static void main(String[] args) {
Connection conn = null;
PreparedStatement st = null;
ResultSet rs = null;
try {
conn = JdbcUtils.getConnection();
String sql = "select * from users where id = ?"; // 编写SQL
st = conn.prepareStatement(sql); // 预编译
st.setInt(1,2); //传递参数
rs = st.executeQuery(); //执行
if (rs.next()){ System.out.println(rs.getString("NAME")); }
} catch (SQLException e) { e.printStackTrace(); }
finally { JdbcUtils.release(conn,st,rs); } }
}
5.防止SQL注入
import com.kuang.lesson02.utils.JdbcUtils;
import java.sql.*;
public class SQL注入 { public static void main(String[] args) {
// login("lisi","123456");
login("'' or 1=1","123456"); //
}
// 登录业务
public static void login(String username,String password){
Connection conn =null;
PreparedStatement st = null;
ResultSet rs = null;
try { conn = JdbcUtils.getConnection();
// PreparedStatement 防止SQL注入的本质,把传递进来的参数当做字符
// 假设其中存在转义字符,比如说 ' 会被直接转义
String sql = "select * from users where `NAME`=? and `PASSWORD`=?"; // Mybatis
st = conn.prepareStatement(sql);
st.setString(1,username);
st.setString(2,password);
rs = st.executeQuery(); //查询完毕会返回一个结果集
while (rs.next()){
System.out.println(rs.getString("NAME"));
System.out.println(rs.getString("password"));
System.out.println("============================"); }
} catch (SQLException e) { e.printStackTrace(); }
finally { JdbcUtils.release(conn,st,rs); }
}
}
6.Statement和PreparedStatement的异同及优缺点
- 相同点:两者都是用来执SQL语句的
- 不同点:PreparedStatement需要根据SQL语句来创建,它能够通过设置参数,指定相应的值,不是像Statement那样使用字符串拼接的方式。
PreparedStatement的优点:
1.其使用参数设置,可读性好,不易记错。在statement中使用字符串拼接,可读性和维护性比较差。
2、其具有预编译机制,性能比statement更快。
3、其能够有效防止SQL注入攻击。
五.使用IDEA连接数据库
- 打开IDEA
- 连接成功后,选择数据库
六.用JDBC操作事务
import com.kuang.lesson02.utils.JdbcUtils;
import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException;
public class TestTransaction2 {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement st = null;
ResultSet rs = null; try {
conn = JdbcUtils.getConnection(); // 关闭数据库的自动提交,自动会开启事务
conn.setAutoCommit(false); // 开启事务
String sql1 = "update account set money = money-100 where name = 'A'";
st = conn.prepareStatement(sql1);
st.executeUpdate();
int x = 1/0; // 报错
String sql2 = "update account set money = money+100 where name = 'B'";
st = conn.prepareStatement(sql2);
st.executeUpdate();
//业务完毕,提交事务
conn.commit(); System.out.println("成功!");
} catch (SQLException e) {
// 若果失败,则默认回滚 //
try { //
conn.rollback(); // 如果失败则回滚事务 // }
catch (SQLException e1) { // e1.printStackTrace(); // } e.printStackTrace(); }
finally { JdbcUtils.release(conn,st,rs); }
}
}