JDBC
怎么通过java程序去操作mysql数据库 -->jdbc来实现
JDBC: Java DataBase Connectivity 一种通过Java来访问数据库的技术,本质上由一组访问数据库的接口组成。
入门程序
//1.导入jar包
//2.注册驱动
Class.forName("com.mysql.jdbc.Driver");
//3.建立连接
Connection connection = DriverManager.getConnection("jdbc:mysql://ip地址:3306/数据库名", "用户名", "密码");
//4.通过连接对象得到语句对象
Statement statement = connection.createStatement();
//5.执行sql语句,获取结果ResultSet
statement.executeQuery("select * from 表名");
//6.解析结果
//7.释放资源,先开的后关,后开的先关
statement.close();
connection.close();
什么情况会触发类加载器
1.new
2.使用静态方法
3.加载子类的时候父类被加载
DriverManager
DriverManager驱动管理对象
一.注册驱动
1.注册给定的驱动程序:static void registerDriver(Driver driver);
2.写代码使用:Class.forName("com.mysql.jdbc.Driver");
3.在com.mysql.jdbc.Driver类中存在静态代码块
static {
try {
DriverManager.registerDriver(new Driver());
} catch (SQLException var1) {
throw new RuntimeException("Can't register driver!");
}
}
注意:我们不需要通过DriverManager调用静态方法registerDriver(),因为只要Driver类被使用,则会执行其静态代码块完成注册驱动
mysql5之后可以省略注册驱动的步骤。在jar包中,存在一个java.sql.Driver配置文件,文件中指定了com.mysql.jdbc.Driver
二.获取数据库连接
获取数据库连接对象:static Connection getConnection(String url, String user, String password);
返回值:Connection 数据库连接对象
参数
url:指定连接的路径。语法:jdbc:mysql://ip地址(域名):端口号/数据库名称
user:用户名
password:密码
真正的目的就是:告诉JDBC真正的JDBC接口规范由谁来实现的.
Connection
Connection数据库连接对象
1.获取执行者对象(Statement对象)
获取普通执行者对象:Statement createStatement();
获取预编译执行者对象:PreparedStatement prepareStatement(String sql);
2.管理事务(事务特性:ACID)
开启事务:setAutoCommit(boolean autoCommit); 参数为false,则开启事务。
提交事务:commit();
回滚事务:rollback();
3.释放资源
立即将数据库连接对象释放:void close();
Statement
Statement执行sql语句的对象
执行DML语句:int executeUpdate(String sql);
返回值int:返回影响的行数。
参数sql:可以执行insert、update、delete语句。
执行DQL语句:ResultSet executeQuery(String sql);
返回值ResultSet:封装查询的结果。
参数sql:可以执行select语句。
释放资源
立即将执行者对象释放:void close();
ResultSet
ResultSet结果集对象
作用:封装mysql服务器返回的数据.
判断结果集中是否还有数据:boolean next();
有数据返回true,并将索引向下移动一行。
没有数据返回false。
获取结果集中的数据:XXX getXxx("列名");
XXX代表数据类型(要获取某列数据,这一列的数据类型)。
例如:String getString("name"); int getInt("age");
释放资源
立即将结果集对象释放:void close();
JDBC工具类
/*
JDBC工具类
*/
public class JDBCUtils {
//1.私有构造方法
private JDBCUtils(){}
//2.声明所需要的配置变量
private static String driverClass;
private static String url;
private static String username;
private static String password;
private static Connection con;
//3.提供静态代码块。读取配置文件的信息为变量赋值,注册驱动
static{
try {
//读取配置文件的信息为变量赋值
InputStream is = JDBCUtils.class.getClassLoader().getResourceAsStream("config.properties");
Properties prop = new Properties();
prop.load(is);
driverClass = prop.getProperty("driverClass");
url = prop.getProperty("url");
username = prop.getProperty("username");
password = prop.getProperty("password");
//注册驱动
Class.forName(driverClass);
} catch (Exception e) {
e.printStackTrace();
}
}
//4.提供获取数据库连接方法
public static Connection getConnection() {
try {
con = DriverManager.getConnection(url,username,password);
} catch (SQLException e) {
e.printStackTrace();
}
return con;
}
//5.提供释放资源的方法
public static void close(Connection con, Statement stat, ResultSet rs) {
if(con != null) {
try {
con.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(stat != null) {
try {
stat.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
public static void close(Connection con, Statement stat) {
close.(con,stat,null);
}
}
sql注入攻击
什么是SQL注入攻击
就是利用sql语句的漏洞来对系统进行攻击
SQL注入攻击的原理
1.按照正常道理来说,我们在密码处输入的所有内容,都应该认为是密码的组成
2.但是现在Statement对象在执行sql语句时,将密码的一部分内容当做查询条件来执行了
SQL注入攻击的解决
PreparedStatement 预编译执行者对象
在执行sql语句之前,将sql语句进行提前编译。明确sql语句的格式后,就不会改变了。剩余的内容都会认为是参数!
SQL语句中的参数使用?作为占位符