Java程序<------------------------->(jdbc)服务器(MySQL数据库)
jdbc原理
JDBC(Java DataBase Connectivity)就是Java数据库连接,说白了就是用Java语言来操作数据库。原来我们操作数据库是在控制台使用SQL语句来操作数据库,JDBC是用Java语言向数据库发送SQL语句。
早期SUN公司的天才们想编写一套可以连接天下所有数据库的API,但是当他们刚刚开始时就发现这是不可完成的任务,因为各个厂商的数据库服务器差异太大了。后来SUN开始与数据库厂商们讨论,最终得出的结论是,由SUN提供一套访问数据库的规范(就是一组接口),并提供连接数据库的协议标准,然后各个数据库厂商会遵循SUN的规范提供一套访问自己公司的数据库服务器的API出现。SUN提供的规范命名为JDBC,而各个厂商提供的,遵循了JDBC规范的,可以访问自己数据库的API被称之为驱动!
JDBC是接口,而JDBC驱动才是接口的实现,没有驱动无法完成数据库连接!每个数据库厂商都有自己的驱动,用来连接自己公司的数据库。
JDBC实现类称为数据库驱动,不在JFDK中,外部jar,jar:压缩文件,放的时class文件
JDBC核心API
JDBC中的核心类有:DriverManager、Connection、Statement,和ResultSet!(接口)
-
DriverManger(驱动管理器)的作用有两个:
注册驱动:这可以让JDBC知道要使用的是哪个驱动;
获取Connection:如果可以获取到Connection,那么说明已经与数据库连接上了。
-
Connection对象表示连接,与数据库的通讯都是通过这个对象展开的:
Connection最为重要的一个方法就是用来获取Statement对象;
-
Statement是用来向数据库发送SQL语句的,这样数据库就会执行发送过来的SQL语句:
void executeUpdate(String sql):执行更新操作(insert、update、delete等);
ResultSet executeQuery(String sql):执行查询操作,数据库在执行查询后会把查询结果,查询结果就是ResultSet;
-
ResultSet对象表示查询结果集,只有在执行查询操作后才会有结果集的产生。结果集是一个二维的表格,有行有列。操作结果集要学习移动ResultSet内部的“行光标”,以及获取当前行上的每一列上的数据:
boolean next():使“行光标”移动到下一行,并返回移动后的行是否存在;
XXX getXXX(int col):获取当前行指定列上的值,参数就是列数,列数从1开始,而不是0。
1.4 JDBC的入门程序
使用jdbc的步骤:
导jar包:驱动!
加载驱动类:Class.forName(“类名”);
给出url、username、password
使用DriverManager类来得到Connection对象!
使用Connection得到Statement对象
使用Statement对象对数据库进行增删改查操作
关闭资源
jdbc步骤:
加载驱动类
获取链接
编写SQL语句
创建Statement对象
执行之(发送SQL 语句到数据库,通知数据库执行SQL语句
接受结果(如果是增删改,行数(int);如果是查询,结果集(ResultSet
关闭资源
解析ResultSet表结构,行指针
包含一个行指针,指向第一行数据前面,执向表头
移动行指针:ResultSet的Boolean next()
next执行的流程
首先判断是否有下一行,如果有,返回true,如果没有,返回false
有下一行,往下移动指针
提供一堆:Xxx getXxx() Xxx: 数据类型名: getString() getInt() getLong() getObject()...
第一种情况: 根据列索引获取指定列的值: Xxx getXxx(int index) 可读性低, 如果表动态的,推荐第一种
数据库这个方法的列索引从1开始
第二种情况: 根据列名获取指定列的值 Xxx getXxx(String columnName) 可读性高
close() 关闭ResultSet
得到ResultSet的数据,之前一定要next()
通用数据类型:Object,getObject()获取任意数据类型的值
使用Statement, sql进行拼接:
sql拼接复杂,很容易出错
sql注入
2.获取连接
获取连接需要两步,一是使用DriverManager来注册驱动,二是使用DriverManager来获取Connection对象。
-
加载驱动类
看清楚了,加载驱动类就只有一句话:
Class.forName("com.mysql.jdbc.Driver")
,今后我们的代码中,与加载驱动类相关的代码只有这一句。
-
获取连接
获取连接的也只有一句代码:DriverManager.getConnection(url,username,password)
,其中username和password是登录数据库的用户名和密码. url查对复杂一点,它是用来找到要连接数据库“网址”,就好比你要浏览器中查找百度时,也需要提供一个url。下面是mysql的url:
jdbc:mysql://localhost:3306/mydb?useUnicode=true&characterEncoding=utf8&useSSL=false
JDBC规定url的格式由三部分组成,每个部分中间使用逗号分隔。
-
第一部分是jdbc,这是固定的;
-
第二部分是数据库名称,那么连接mysql数据库,第二部分当然是mysql了;
-
第三部分是由数据库厂商规定的,我们需要了解每个数据库厂商的要求
-
localhost: 表示要连接的mysql数据库服务器的ip地址, 如果连接远程的mysql,需要写对方真实的ip, localhost表示连接本地的mysql服务器
-
3306: 表示mysql的端口
-
mydb: 表示需要连接mysql的那个数据库
-
useUnicode=true&characterEncoding=utf8&useSSL=false: 表示mysql的相关参数
-
useUnicode: 是否使用Unicode字符集,如果参数characterEncoding,设置为utf-8,本参数值必须设置为true, 默认值为false
-
characterEncoding: 当useUnicode设置为true时,指定字符编码。比如可设置为utf-8
-
useSSL: 是否进行SSL连接 高版本设置useSSL=true,不然会有警告信息
-
-
下面是获取连接的语句:
Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=utf8&useSSL=false", "root", "root");
3. 获取statement
在得到Connectoin之后,说明已经与数据库连接上了,下面是通过Connection获取Statement对象的代码:
Statement stmt = con.createStatement();
Statement是用来向数据库发送要执行的SQL语句的!
4.发送CURD的sql语句
String sql = “insert into user value(’zhangSan’, ’123’)”;
int m = stmt.executeUpdate(sql);
其中int类型的返回值表示执行这条SQL语句所影响的行数,我们知道,对insert来说,最后只能影响一行,而update和delete可能会影响0~n行。
如果SQL语句执行失败,那么executeUpdate()会抛出一个SQLException。
如果是查询:
String sql = “select * from user”;
ResultSet rs = stmt.executeQuery(sql);
请注意,执行查询使用的不是executeUpdate()方法,而是executeQuery()方法。executeQuery()方法返回的是ResultSet,ResultSet封装了查询结果,我们称之为结果集。
5.关闭资源
与IO流一样,使用后的东西都需要关闭!关闭的顺序是先得到的后关闭,后得到的先关闭。
rs.close();
stmt.close();
con.close();
注意:
使用Statement,SQL语句拼接
-
容易出错
-
sql注入/sql攻击
解决方案:子接口 PreparedStatement
在sql中提供占位符
给问好赋值的时候,这个值使用单引号引起,只作为值使用
什么是SQL攻击
在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句!例如用户在登录时输入的用户名和密码都是为SQL语句的片段!
防止SQL攻击
1.PreparedStatement是什么
PreparedStatement叫预编译声明!
PreparedStatement是Statement的子接口,你可以使用PreparedStatement来替换Statement。
PreparedStatement的好处:
-
防止SQL攻击;
-
提高代码的可读性,以可维护性;
-
提高效率。
SQL语句的执行:
sql编译
语法检查
执行sql
2. PreparedStatement的使用
使用Connection的prepareStatement(String sql):即创建它时就让它与一条SQL模板绑定;
调用PreparedStatement的setXXX()系列方法为问号设置值
调用executeUpdate()或executeQuery()方法,但要注意,调用没有参数的方法;
String sql = “select * from tab_user where username=? and password=?”;
PreparedStatement pstmt = con.prepareStatement(sql);
pstmt.setString(1, “zs”);
pstmt.setString(2, “zs”);
ResultSet rs = pstmt.executeQuery();
rs.close();
pstmt.clearParameters();//再次使用时需要把原来的设置的参数清空。
pstmt.setString(1, “a' or '1'='1”);
pstmt.setString(1, “a' or '1'='1”);
rs = pstmt.executeQuery();
注意PreparedStatement对象独有的executeQuery()方法是没有参数的,而Statement的executeQuery()是需要参数(SQL语句)的。因为在创建PreparedStatement对象时已经让它与一条SQL模板绑定在一起了,所以在调用它的executeQuery()和executeUpdate()方法时就不再需要参数了。
PreparedStatement最大的好处就是在于重复使用同一模板,给予其不同的参数来重复的使用它。这才是真正提高效率的原因。
优点:
防止SQL攻击
可读性高
效率高:预编译功能
给?赋值
PreparedStatement的setXXX()系列方法为问号设置值
index:?位置,从1 开始
通用数据类型 SetObject
SetString(string类型)
所以,建议大家在今后的开发中,无论什么情况,都去需要PreparedStatement,而不是使用Statement。