Java入门之JDBC
JDBC编程6步
1注册驱动(告诉java程序,即将连接的是哪个品牌的数据库)
2.获取连接(表示jvm的进程和数据库进程之间的通道打开了,这属于进程之间的通信,重量级的,使用完毕后要释放资源)
3.获取数据库操作对象(专门执行sql语句的对象)
4.执行sql语句(DQL DML)
5.处理查询结果集(只有第四步是select语句时才有第5步)
6.释放资源
JDBC执行代码
public static void main(String[] args) throws SQLException, ClassNotFoundException {
Connection c=null;
PreparedStatement s=null;
try {
//1-2获取驱动和连接
c = JDBCUtils.get();
System.out.println("input name");
String name=new Scanner(System.in).nextLine();
System.out.println("input empno");
String empno=new Scanner(System.in).nextLine();
/*存在SQL攻击现象,如果empno写成: ***‘ or '1'='1 就会出错,一直登录成功
* 产生原因:用户输入的sql语句中含有sql语句的关键词,
* 并且这些关键词参与sql语句的编译过程
* 导致sql语句原意被扭曲,达到sql攻击
* */
// String sql="select * from emp where ename='"+name+"' and empno='"+empno+"'";
//Statement s = c.createStatement();
String sql="select * from emp where ename=? and empno=?";
//3.获取数据库操作对象
s = c.prepareStatement(sql);
s.setObject(1,name);
s.setObject(2,empno);
//4.执行sql
ResultSet r = s.executeQuery();
//5.处理查询结果集
while (r.next()){
Object o1 = r.getObject(1);
Object o2 = r.getObject(2);
Object o3 = r.getObject(3);
Object o4 = r.getObject(4);
System.out.println(o1+"--"+o2+"--"+o3+"--"+o4);
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
System.out.println("failed");
} catch (SQLException throwables) {
throwables.printStackTrace();
System.out.println("failed");
} finally {
if (c!=null){
try {
c.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
if (s!=null){
try {
s.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
public class JDBCUtils {
public static Connection get ( ) throws ClassNotFoundException, SQLException {
//1.注册驱动
Class.forName("com.mysql.cj.jdbc.Driver");
//2.获取连接 (用户名 密码 端口号)
//"协议://IP地址:端口号/数据库名字";
String url="jdbc:mysql://localhost:3306/whx2021?characterEncoding=utf8";
Connection c = DriverManager.getConnection(url, "root", "root");
return c;
}
}
Statement和PreparedStatement
Statement:父接口+SQL攻击/注入,+SQL需要手动拼接参数(复杂)+低效
PreparedStatement:子接口,用了父接口所有功能+优化,解决了SQL攻击/注入,+SQL骨架(简化了)+高效
preparedStatement原理是:
预先对SQL语句的框架进行编译,然后再给SQL语句传值。
单纯只用createStatement语句处理的话,时再最后一下对sql语句进行编译,这样就会容易遭到攻击/注入。优化后,先编译sql框架,再往里面传入参数,这样就能避免sql攻击/注入。
优化前:
/*存在SQL攻击/注入现象,如果empno写成: ***‘ or '1'='1 就会出错,一直登录成功
* 产生原因:1.用户输入的sql语句中含有sql语句的关键词,
* 2.并且这些关键词参与sql语句的编译过程
* 导致sql语句原意被扭曲,达到sql攻击/注入
* */
Statement s = c.createStatement();
String sql="select * from emp where ename='"+name+"' and empno='"+empno+"'";
ResultSet r = s.executeQuery(sql);
//一下编译sql语句
改进后先编译一个骨架,再传入参数
优化后
s = c.prepareStatement(sql);
s.setObject(1,name);
s.setObject(2,empno);
//4.执行sql
ResultSet r = s.executeQuery();
Maven
总的来说就是个jar包管理工具
Java工程中我们自己去找jar,或者来自官网,或者来自网友的分享,或者来自项目团队的共享,不论何种方式,都需要把jar文件复制到lib目录中,并且buildpath。
工具
Java工程中我们自己去找jar,或者来自官网,或者来自网友的分享,或者来自项目团队的共享,不论何种方式,都需要把jar文件复制到lib目录中,并且buildpath。