JDBC入门

Java程序<------------------------->（jdbc）服务器（MySQL数据库）

jdbc原理

　JDBC（Java DataBase Connectivity）就是Java数据库连接，说白了就是用Java语言来操作数据库。原来我们操作数据库是在控制台使用SQL语句来操作数据库，JDBC是用Java语言向数据库发送SQL语句。

早期SUN公司的天才们想编写一套可以连接天下所有数据库的API，但是当他们刚刚开始时就发现这是不可完成的任务，因为各个厂商的数据库服务器差异太大了。后来SUN开始与数据库厂商们讨论，最终得出的结论是，由SUN提供一套访问数据库的规范（就是一组接口），并提供连接数据库的协议标准，然后各个数据库厂商会遵循SUN的规范提供一套访问自己公司的数据库服务器的API出现。SUN提供的规范命名为JDBC，而各个厂商提供的，遵循了JDBC规范的，可以访问自己数据库的API被称之为驱动！

 

JDBC是接口，而JDBC驱动才是接口的实现，没有驱动无法完成数据库连接！每个数据库厂商都有自己的驱动，用来连接自己公司的数据库。

JDBC实现类称为数据库驱动，不在JFDK中，外部jar，jar:压缩文件，放的时class文件

JDBC核心API

JDBC中的核心类有：DriverManager、Connection、Statement，和ResultSet！（接口）

• DriverManger（驱动管理器）的作用有两个：

1. 注册驱动：这可以让JDBC知道要使用的是哪个驱动；

2. 获取Connection：如果可以获取到Connection，那么说明已经与数据库连接上了。

• Connection对象表示连接，与数据库的通讯都是通过这个对象展开的：

Connection最为重要的一个方法就是用来获取Statement对象；

• Statement是用来向数据库发送SQL语句的，这样数据库就会执行发送过来的SQL语句：

1. void executeUpdate(String sql)：执行更新操作（insert、update、delete等）；

2. ResultSet executeQuery(String sql)：执行查询操作，数据库在执行查询后会把查询结果，查询结果就是ResultSet；

• ResultSet对象表示查询结果集，只有在执行查询操作后才会有结果集的产生。结果集是一个二维的表格，有行有列。操作结果集要学习移动ResultSet内部的“行光标”，以及获取当前行上的每一列上的数据：

1. boolean next()：使“行光标”移动到下一行，并返回移动后的行是否存在；

2. XXX getXXX(int col)：获取当前行指定列上的值，参数就是列数，列数从1开始，而不是0。

1.4 JDBC的入门程序

使用jdbc的步骤:

1. 导jar包：驱动！

2. 加载驱动类：Class.forName(“类名”);

3. 给出url、username、password

4. 使用DriverManager类来得到Connection对象！

   1. 使用Connection得到Statement对象

      1. 使用Statement对象对数据库进行增删改查操作

      2. 关闭资源

jdbc步骤：

1. 加载驱动类

2. 获取链接

3. 编写SQL语句

4. 创建Statement对象

5. 执行之（发送SQL 语句到数据库，通知数据库执行SQL语句

6. 接受结果（如果是增删改，行数（int）；如果是查询，结果集（ResultSet

7. 关闭资源

解析ResultSet表结构，行指针

包含一个行指针，指向第一行数据前面，执向表头

1. 移动行指针：ResultSet的Boolean next（）

next执行的流程

1. 首先判断是否有下一行，如果有，返回true，如果没有，返回false

2. 有下一行，往下移动指针

1. 提供一堆:Xxx getXxx() Xxx: 数据类型名: getString() getInt() getLong() getObject()...

第一种情况: 根据列索引获取指定列的值: Xxx getXxx(int index) 可读性低, 如果表动态的,推荐第一种

数据库这个方法的列索引从1开始

第二种情况: 根据列名获取指定列的值 Xxx getXxx(String columnName) 可读性高

1. close() 关闭ResultSet

得到ResultSet的数据,之前一定要next()

 

通用数据类型：Object,getObject()获取任意数据类型的值

使用Statement, sql进行拼接:

1. sql拼接复杂,很容易出错

2. sql注入

2.获取连接

获取连接需要两步，一是使用DriverManager来注册驱动，二是使用DriverManager来获取Connection对象。

1. 加载驱动类

看清楚了，加载驱动类就只有一句话：Class.forName("com.mysql.jdbc.Driver")，今后我们的代码中，与加载驱动类相关的代码只有这一句。

1. 获取连接

获取连接的也只有一句代码：DriverManager.getConnection(url,username,password)，其中username和password是登录数据库的用户名和密码. url查对复杂一点，它是用来找到要连接数据库“网址”，就好比你要浏览器中查找百度时，也需要提供一个url。下面是mysql的url：

  jdbc:mysql://localhost:3306/mydb?useUnicode=true&characterEncoding=utf8&useSSL=false

JDBC规定url的格式由三部分组成，每个部分中间使用逗号分隔。

• 第一部分是jdbc，这是固定的；

• 第二部分是数据库名称，那么连接mysql数据库，第二部分当然是mysql了；

• 第三部分是由数据库厂商规定的，我们需要了解每个数据库厂商的要求

  1. localhost: 表示要连接的mysql数据库服务器的ip地址, 如果连接远程的mysql,需要写对方真实的ip, localhost表示连接本地的mysql服务器

  2. 3306: 表示mysql的端口

  3. mydb: 表示需要连接mysql的那个数据库

  4. useUnicode=true&characterEncoding=utf8&useSSL=false: 表示mysql的相关参数

     • useUnicode: 是否使用Unicode字符集，如果参数characterEncoding,设置为utf-8，本参数值必须设置为true, 默认值为false

     • characterEncoding: 当useUnicode设置为true时，指定字符编码。比如可设置为utf-8

     • useSSL: 是否进行SSL连接 高版本设置useSSL=true,不然会有警告信息

  　　

下面是获取连接的语句：

Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf8&useSSL=false", "root", "root");

3. 获取statement

在得到Connectoin之后，说明已经与数据库连接上了，下面是通过Connection获取Statement对象的代码：

 Statement stmt = con.createStatement();

Statement是用来向数据库发送要执行的SQL语句的！

4.发送CURD的sql语句

String sql = “insert into user value(’zhangSan’, ’123’)”;
 ​
 int m = stmt.executeUpdate(sql);

其中int类型的返回值表示执行这条SQL语句所影响的行数，我们知道，对insert来说，最后只能影响一行，而update和delete可能会影响0~n行。

如果SQL语句执行失败，那么executeUpdate()会抛出一个SQLException。

如果是查询:

String sql = “select * from user”;
 ResultSet rs = stmt.executeQuery(sql);

请注意，执行查询使用的不是executeUpdate()方法，而是executeQuery()方法。executeQuery()方法返回的是ResultSet，ResultSet封装了查询结果，我们称之为结果集。

5.关闭资源

与IO流一样，使用后的东西都需要关闭！关闭的顺序是先得到的后关闭，后得到的先关闭。

rs.close();
stmt.close();
con.close();

注意：

使用Statement,SQL语句拼接

1. 容易出错

2. sql注入/sql攻击

解决方案：子接口 PreparedStatement

在sql中提供占位符

给问好赋值的时候，这个值使用单引号引起，只作为值使用

什么是SQL攻击

在需要用户输入的地方，用户输入的是SQL语句的片段，最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句！例如用户在登录时输入的用户名和密码都是为SQL语句的片段！

防止SQL攻击

1.PreparedStatement是什么

PreparedStatement叫预编译声明！

PreparedStatement是Statement的子接口，你可以使用PreparedStatement来替换Statement。

PreparedStatement的好处：

• 防止SQL攻击；

• 提高代码的可读性，以可维护性；

• 提高效率。

SQL语句的执行：

1. sql编译

2. 语法检查

3. 执行sql

2. PreparedStatement的使用

1. 使用Connection的prepareStatement(String sql)：即创建它时就让它与一条SQL模板绑定；

2. 调用PreparedStatement的setXXX()系列方法为问号设置值

3. 调用executeUpdate()或executeQuery()方法，但要注意，调用没有参数的方法；

String sql = “select * from tab_user where username=? and password=?”;
PreparedStatement pstmt = con.prepareStatement(sql);
pstmt.setString(1, “zs”);
pstmt.setString(2, “zs”);
ResultSet rs = pstmt.executeQuery();
rs.close();

pstmt.clearParameters();//再次使用时需要把原来的设置的参数清空。

pstmt.setString(1, “a' or '1'='1”);
pstmt.setString(1, “a' or '1'='1”);
rs = pstmt.executeQuery();

注意PreparedStatement对象独有的executeQuery()方法是没有参数的，而Statement的executeQuery()是需要参数（SQL语句）的。因为在创建PreparedStatement对象时已经让它与一条SQL模板绑定在一起了，所以在调用它的executeQuery()和executeUpdate()方法时就不再需要参数了。

PreparedStatement最大的好处就是在于重复使用同一模板，给予其不同的参数来重复的使用它。这才是真正提高效率的原因。

优点：

1. 防止SQL攻击

2. 可读性高

3. 效率高：预编译功能

给？赋值

PreparedStatement的setXXX()系列方法为问号设置值

index:？位置，从1 开始

通用数据类型 SetObject

SetString(string类型)

所以，建议大家在今后的开发中，无论什么情况，都去需要PreparedStatement，而不是使用Statement。