一、JDBC的工作原理
JDBC仅为一个接口(规则),由各个数据库厂商进行实现(即JDBC驱动)
二、JDBC的开发步骤
1.加载驱动 Class.forName()
2.链接数据库 Connection
3.预处理SQL语句 PreparedStatement
4.执行,并返回结果 resultSet
5.释放资源 close()
三、SQL注入
利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。
2、防止SQL注入的方法
1.过滤用户输入的数据中是否包含非法字符;
2.分步校验!先使用用户名来查询用户,如果查找到了,再比较密码;
3.使用PreparedStatement接口。
四、PreparedStatement接口
1.使用Connection对象的prepareStatement(String sql):即创建它时就让它与一条SQL语句绑定;
2.编写SQL语句时,如果存在参数,使用“?”作为数据占位符;
3.调用PreparedStatement的setXXX()系列方法为占位符设置值,索引从1开始;
4.调用executeUpdate()或executeQuery()方法,但要注意,调用没有参数的方法;
五、主要代码
/**
* 数据库链接地址
*/
String URL = "jdbc:mysql://127.0.0.1:3306/MYSCHOOL?useSSL=false&useServerPrepStmts = true";
String USERNAME= "root";
String PASSWORD = "123456";
// 加载驱动
Class.forName("com.mysql.jdbc.Driver");
// 链接数据库
connection = DriverManager.getConnection(URL,USERNAME,PASSWORD);
try {
String url = "jdbc:mysql://127.0.0.1:3306/MYSCHOOL?useServerPrepStmts = true";
String user = "root";
String password = "123456";
// 加载驱动
Class.forName("com.mysql.jdbc.Driver");
// 链接数据库
Connection connection = DriverManager.getConnection(url,user,password);
// 设置SQL语句
String sql = "SELECT GRADENAME FROM GRADE WHERE GRADEID = ?";
// 发送验证、编译SQL语句
PreparedStatement preparedStatement = connection.prepareStatement(sql);
// ====第一句===
// 可执行的SQL语句
preparedStatement.setInt(1,1);
// 执行SQL语句、并返回结果
ResultSet resultSet = preparedStatement.executeQuery();
// ===第二句===
// 可执行的SQL语句
preparedStatement.setInt(1,2);
// 执行SQL语句、并返回结果
resultSet = preparedStatement.executeQuery();
} catch (ClassNotFoundException | SQLException e) {
e.printStackTrace();
}