JDBC(Java Database Connectivity)
概述
通过Java访问数据库的技术,本质上由一组接口组成,具体实现类由数据库厂商实现,编程人员只需要改动少量代码,就可以实现访问不同数据库。
连接数据库
步骤
- 导包:不同数据库导入相应jar包
- 注册驱动:通过DriverManager类注册驱动,由系统自动完成
- 建立连接:通过DriverManager.getConnection(String url,String username,String password) 获取Connection连接对象。
- url:数据库连接地址 jdbc:mysql://服务器名:端口号/数据库名
- username:数据库用户登录账户
- password:数据库用户登录密码
- 创建执行sql语句的对象:通过Connection连接对象createStatement方法,返回执行sql语句的对象Statement(会造成sql注入的安全性问题,后面会提供sql注入的解决方案)
- 执行sql语句,得到结果集:通过Statement对象发送sql语句executeQuery(DQL语句),executeUpdate(DML语句),execute(DDL语句)
- 处理执行结果:通过Statement对象执行executeQuery方法得到返回的ResultSet结果集,通过ResultSet接口的方法next()和get数据类型(参数)获取查询结果
- 关闭资源:关闭ResultSet,Statement,Connectiton
示例:
package com.test;
import org.junit.Test;
import java.sql.*;
public class demo {
@Test
public void test() throws SQLException {
//创建Connection对象,建立连接
Connection connection = DriverManager.getConnection("jdbc:mysql://localhost/db1", "root", "root");
//通过Connection连接对象,创建sql语句执行对象Statement
Statement statement = connection.createStatement();
//执行DQL语句,返回ResultSet结果集
ResultSet rs = statement.executeQuery("select * from user");
//遍历ResulSet结果集
while(rs.next()){
//得到数据库username和password对应的信息
String username = rs.getString("username");
String password = rs.getString("password");
System.out.println(username+","+password);
}
//关闭资源
rs.close();
statement.close();
connection.close();
}
}
执行结果
sql注入问题
代码演示
@Test
public void test() throws SQLException {
String username = "张三";
String password = "11111 or 1 = 1"; //正确密码为1234。模拟sql注入
//创建Connection对象,建立连接
Connection connection = DriverManager.getConnection("jdbc:mysql://localhost/db1", "root", "root");
//通过Connection连接对象,创建sql语句执行对象Statement
Statement statement = connection.createStatement();
//执行DQL语句,返回ResultSet结果集
ResultSet rs = statement.executeQuery("select * from user where username='"+username+"'and password="+password);
//判断ResulSet结果集是否为空,为空表示没查询到相关信息
if (rs.next()){
//得到查询结果username的值
String un = rs.getString("username");
System.out.println("登录成功,欢迎您:"+un);
}else{
System.out.println("登录失败");
}
//关闭资源
rs.close();
statement.close();
connection.close();
}
在数据库中的实际存储用户名和密码是
以上java代码将密码改些后,实际执行的sql语句是:
select * from user where username=“张三” and password=11111 or 1 = 1;可查询出user表的所有内容,为避免出现sql注入问题,使用PreparedStatement接口来创建sql语句执行对象
解决sql注入问题代码
@Test
public void testSql() throws SQLException {
//输入正确username和password
String username = "张三";
String password = "1234";
//创建Connection对象
Connection connection = DriverManager.getConnection("jdbc:mysql://localhost/db1", "root", "root");
//得到PreparedStatement对象,对sql语句进行预编译
PreparedStatement ps = connection.prepareStatement("select * from user where username=? and password=?");
//掉用PreparedStatement对象的set数据类型()方法,将占位符替换为真实值
ps.setString(1,username);
ps.setString(2,password);
ResultSet rs = ps.executeQuery();
//判断ResultSet结果集是否为空,为空表示没查询到相关信息
if(rs.next()){
//得到username的值
String un = rs.getString("username");
System.out.println("登录成功,欢迎您:"+un);
}else{
System.out.println("登录失败");
}
//关闭资源
rs.close();
ps.close();
connection.close();
}
PrepareStatement会对sql语句进行预编译,使用?作为占位符,再通过set数据类型(参数1,参数2)方法替换占位符为真实的值。
PrepareStatement接口继承自Statement接口,更强大
- SQL语句会预先编译,执行效率会更高。
- 解决SQL注入的问题,更安全
- SQL语句代码的可读性更好,所有要替换的参数使用占位符,占位符是?问号
工具类
public class JdbcUtils {
//获取链接对象Connection
public static Connection getConnection() throws SQLException {
return DriverManager.getConnection("jdbc:mysql://localhost:3306/db1","root","root");
}
//关闭资源,connection连接对象和statement对象和ResultSet结果集对象
public static void close(Connection connection, Statement statement, ResultSet resultSet){
try {
if(connection != null){
connection.close();
}
} catch (SQLException e) {
e.printStackTrace();
}
try {
if(statement != null){
statement.close();
}
} catch (SQLException e) {
e.printStackTrace();
}
try {
if(resultSet != null) {
resultSet.close();
}
} catch (SQLException e) {
e.printStackTrace();
}
}
//关闭资源,connection连接对象和statement对象
public static void close(Connection connection,Statement statement){
close(connection,statement,null);
}
}
事务管理
步骤
- 获取连接
- 开启事务
- 获取到Statement
- 使用Statement执行两次更新操作
- 正常情况下提交事务
- 出现异常回滚事务
- 最后关闭资源
演示代码
@Test
public void testAutoCommit() throws SQLException{
Connection connection = null;
Statement statement = null;
try {
//获取连接
Connection connection = DriverManager.getConnection("jdbc:mysql://localhost/db1", "root", "root");
//手动提交事务
connection.setAutoCommit(false);
//创建语句对象
statement = connection.createStatement();
//执行更新操作:Jack扣钱
statement.executeUpdate("update account set balance=balance-500 where name='Jack'");
//模拟出现异常的情况
System.out.println(1 / 0);
//执行更新操作:Rose加钱
statement.executeUpdate("update account set balance=balance+500 where name='Rose'");
//提交事务
connection.commit();
//没有异常提示转账成功
System.out.println("转账成功");
} catch (Exception e) { //只要出现异常就输出转账失败
//回滚事务
try {
connection.rollback(); //就算出来了异常,日志文件也是会被清除
} catch (SQLException ex) {
ex.printStackTrace();
}
//有异常提示转账失败
System.out.println("转账失败");
}
//释放资源
finally {
JdbcUtils.close(connection, statement);
}
}
ex.printStackTrace();
}
//有异常提示转账失败
System.out.println("转账失败");
}
//释放资源
finally {
JdbcUtils.close(connection, statement);
}
}