一、JDBC 简介及工作原理
JDBC(Java Database Connectivity),全称 Java 数据库连接,是 Java 语言中用来规范客户端程序如何来访问数据库的应用程序接口,提供了诸如查询和更新数据库中数据的方法。JDBC 也是Sun Microsystems 的商标。我们通常说的 JDBC 是面向关系型数据库的。
二、JDBC API 的主要功能:与数据库建立连接、执行 sql 语句、处理结果
三、JDBC-ODBC 桥连方式和纯 Java 方式连接数据库(后面示例均以纯 Java 方式连接)
1. 使用 JDBC-ODBC 桥方式连接数据库
将对 JDBC API 的调用,转换为对另一组数据库连接 API 的调用
- 优点:可以访问所有 ODBC 可以访问的数据库
- 缺点:执行效率低、功能不够强大
2. 使用纯 Java 方式连接数据库
由 JDBC 驱动直接访问数据库
- 优点:完全 Java 代码,快速、跨平台
- 缺点:访问不同的数据库需要下载专用的 JDBC 驱动
四、JDBC 访问数据库的步骤
1. 下载并添加 jar 包:
- 去官网下载 jar 包(版本自己看情况选吧,我当时下载的是 5.1.44 的,长下面这个样子)
- 把 jar 包粘贴到项目下和 src 同级的 lib 包中(没有 lib 包就创建一个)
- 右击你粘贴进来的这个 jar 包,build path → add to build path
- 当看到“小奶瓶”图标的 jar 包出现在 Referenced Libraries 文件夹(这个文件夹不用创建)下时,证明 build path 成功了(同时原来 lib 包中的 jar 包图标也会有一点小变化)
2. 加载驱动:Class.forName(JDBC 驱动类);
3. 建立连接: URL用来标识数据库
- Connection con = DriverManager.getConnection(URL, 数据库用户名, 密码);
4. 发送 sql 语句,返回结果:
- Statement stmt = con.createStatement();
- ResultSet rs = stmt.executeQuery("SELECT a, b, c FROM table1;");
5. 处理返回的结果:
- while (rs.next()) {
- int x = rs.getInt("a");
- String s = rs.getString("b");
- float f = rs.getFloat("c");
- ……(实际情况根据返回的结果调整,这里以 int,String,float 三种类型数据为例)
- }
6. 关闭连接,释放资源:
- rs.close();
- stmt.close();
- con.close();
JDBC 访问本机上的 mysql 数据库进行“增删改”操作的简单示例:
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;
public class TestConnection1 {
//定义静态常量
//这里连接的是本机上的 mysql 数据库,所以是 mysql://localhost,3306 是端口号,hhh 是数据库名,后面那一串是在设置中文编码以免乱码
public static final String URL = "jdbc:mysql://localhost:3306/hhh?useUnicode=true&characterEncoding=utf-8";
public static final String USER = "root";
public static final String PASSWORD = "root";
public static void main(String[] args) {
Connection conn = null;
Statement stmt = null;
//测试数据库连接
try {
// 1.加载驱动
Class.forName("com.mysql.jdbc.Driver");
// 2.建立连接
conn = DriverManager.getConnection(URL, USER, PASSWORD);
System.out.println("创建数据库连接:" + conn);
// 3.操作数据库(这里以“增”为例,“删改”根据需求改变 sql 即可)
String sql = "INSERT INTO hh (myname,relation)VALUES('乔乔',2);";
stmt = conn.createStatement();
int row = stmt.executeUpdate(sql); //返回的行数
System.out.println(row > 0 ? "添加成功" : "添加失败");
//必须进行相关异常处理
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} finally {
// 4.关闭资源
try {
stmt.close();
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
JDBC 访问本机上的 mysql 数据库进行“查”操作的简单示例:
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class TestConnection2 {
//定义静态常量
public static final String URL = "jdbc:mysql://localhost:3306/hhh?useUnicode=true&characterEncoding=utf-8";
public static final String USER = "root";
public static final String PASSWORD = "root";
public static void main(String[] args) {
Connection conn = null;
Statement stmt = null;
ResultSet rs = null;
//测试数据库连接
try {
// 1.加载驱动
Class.forName("com.mysql.jdbc.Driver");
// 2.建立连接
conn = DriverManager.getConnection(URL, USER, PASSWORD);
System.out.println("创建数据库连接:" + conn);
// 3.操作数据库(查)
stmt = conn.createStatement();
String sql = "select * from hh order by relation";
rs = stmt.executeQuery(sql);
// 4.遍历输出结果
while(rs.next()) {
int id = rs.getInt("relation");
String name = rs.getString("myname");
System.out.println(id+"--"+name);
// //ResultSet 的 getInt(),getString()等方法除了可以通过列名标识列,还可以通过列号标识
// System.out.println(rs.getInt(2)+"--"+rs.getString(1));
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
}finally {
// 5.关闭资源
try {
rs.close();
stmt.close();
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
五、Statement 接口和 ResultSet 接口的常用方法
1. Statement 接口的常用方法
2. ResultSet 接口的常用方法
六、PreparedStatement 接口和 sql 注入
1. sql 注入
在介绍 sql 注入之前,我们先来看一个例子:
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;
public class TestConnection3 {
//定义静态常量
public static final String URL = "jdbc:mysql://localhost:3306/hhh?useUnicode=true&characterEncoding=utf-8";
public static final String USER = "root";
public static final String PASSWORD = "root";
//登录方法
public static boolean login(String name,int pwd) {
boolean flag = false;
Connection conn = null;
Statement stmt = null;
ResultSet rs = null;
//测试数据库连接
try {
// 1.加载驱动
Class.forName("com.mysql.jdbc.Driver");
// 2.建立连接
conn = DriverManager.getConnection(URL, USER, PASSWORD);
// System.out.println("创建数据库连接:" + conn);
// 3.操作数据库(查询全部记录)
stmt = conn.createStatement();
String sql = "select * from user where username='"+name+"' and password='"+pwd+"'";
rs = stmt.executeQuery(sql);
// 4.遍历输出结果
while(rs.next()) {
flag = true;
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
}finally {
// 5.关闭资源
try {
rs.close();
stmt.close();
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
// 返回结果
return flag;
}
public static void main(String[] args) {
Scanner input = new Scanner(System.in);
// 输入用户名和密码
System.out.println("请输入用户名:");
String name = input.next();
System.out.println("请输入密码:");
int pwd = input.nextInt();
if(login(name, pwd)) {
System.out.println("登录成功!");
}else {
System.out.println("登录失败!");
}
}
}
这是一个根据用户名和密码查询用户表,确定用户名和密码正确后再执行后续操作的方法。但是这个方法有个 bug,就是如果密码类型为 String 的话,输入密码时可以通过字符拼接使得登录的 sql 语句始终为 true,密码失效,比如密码输入“ 任意字符'or'1'='1 ”,原 sql 就等价于 String sql = "select * from user where username='"+name+"' and password='"+pwd+"' or 1=1";
//前面不管输啥,输密码时只要最后加上 'or'1'='1,都会登录成功,因为此时 sql 语句为
select * from user where username='admin' and password='我是乱输的' or 1=1
像这种通过字符拼接等方式修改 sql 而造成的安全漏洞,就是 sql 注入。下面要介绍的PreparedStatement 接口,用占位符的方式输入参数就可以解决这一麻烦
2. PreparedStatement 接口
- PreparedStatement 继承自 Statement 接口,比 Statement 对象使用更加灵活,更有效率
- 使用 PreparedStatement 接口可以避免 sql 注入带来的隐患
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;
public class TestConnection4 {
//定义静态常量
public static final String URL = "jdbc:mysql://localhost:3306/hhh?useUnicode=true&characterEncoding=utf-8";
public static final String USER = "root";
public static final String PASSWORD = "root";
public static boolean login(String name,int pwd) {
boolean flag = false;
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
//测试数据库连接
try {
// 1.加载驱动
Class.forName("com.mysql.jdbc.Driver");
// 2.建立连接
conn = DriverManager.getConnection(URL, USER, PASSWORD);
// 3.操作数据库(查询全部记录)
String sql = "select * from user where username=? and password=?";
// 预编译
pstmt = conn.prepareStatement(sql);
// 填充占位符
pstmt.setString(1, name);
pstmt.setInt(2, pwd);
rs = pstmt.executeQuery();
// pstmt.executeUpdate(); // 增删改
// 4.遍历输出结果
while(rs.next()) {
flag = true;
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
}finally {
// 5.关闭资源
try {
rs.close();
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
// 返回结果
return flag;
}
public static void main(String[] args) {
Scanner input = new Scanner(System.in);
// 输入用户名和密码
System.out.println("请输入用户名:");
String name = input.next();
System.out.println("请输入密码:");
int pwd = input.nextInt();
if(login(name, pwd)) {
System.out.println("登录成功!");
}else {
System.out.println("登录失败!");
}
}
}
PreparedStatement 接口以 ?为参数“占位”,就算密码是 String 类型的,就算输入密码时在最后加上了 'or'1'='1,它也会认为这是密码的一部分,一起拿去和数据库中的列值进行比对,想 sql 注入?无所谓,PreparedStatement 会来打断施法!
但是要注意:参数的数量要和占位符的数量保持一致;因为参数是按顺序填入占位符所占位置的,所以前后顺序一定不要弄错了,参数类型也要和占位符所在位置的数据类型保持一致!
七、JDBC 操作数据库的基础模板
1. 普通模板
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
/**
* jdbc操作数据库的基础模板
* @author hahaha
*/
public class BaseDao_hh {
// 数据库连接相关字符串
public static final String DRIVER = "com.mysql.jdbc.Driver";
public static final String URL = "jdbc:mysql://localhost:3306/hh?useUnicode=true&characterEncoding=utf-8";
public static final String USER = "root";
public static final String PASSWORD = "root";
// 创建数据库连接
public static Connection getConnection() {
Connection conn = null;
try {
// 1.加载驱动
Class.forName(DRIVER);
// 2.创建连接
conn = DriverManager.getConnection(URL, USER, PASSWORD);
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
}
return conn;
}
/**
* 增删改通用
* @param sql 查询的sql语句
* @param params 占位符的参数数组
* @return
*/
public static int commonExecuteUpdate(String sql,Object[] params) {
int row = 0;
Connection conn = null;
PreparedStatement pstmt = null;
try {
// 1.获取连接
conn = getConnection();
// 2.创建 preparedStatement 对象
pstmt = conn.prepareStatement(sql);
// 3.填充占位符
for(int i = 0;i < params.length;i++) {
pstmt.setObject(i+1, params[i]);
}
// 4.操作数据库 增删改
row = pstmt.executeUpdate();
} catch (SQLException e) {
e.printStackTrace();
}finally {
// 5.关闭资源
closeResourse(null, pstmt, conn);
}
return row;
}
/**
* 查询通用方法
* @param sql 查询的sql语句
* @param params 占位符数组
* @return
*/
public static ResultSet commonQuery(String sql,Object[] params) {
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try {
// 1.获取连接
conn = getConnection();
// 2.创建操作对象
pstmt = conn.prepareStatement(sql);
// 3.填充占位符
for(int i = 0;i < params.length;i++) {
pstmt.setObject(i+1, params[i]);
}
// 4.操作数据库 查
rs = pstmt.executeQuery();
} catch (SQLException e) {
e.printStackTrace();
}
return rs;
}
/**
* 关闭资源
* @param rs
* @param pstmt
* @param conn
*/
public static void closeResourse(ResultSet rs,PreparedStatement pstmt,Connection conn) {
if(rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(pstmt != null) {
try {
pstmt.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
public static void main(String[] args) {
//添加信息
String sql = "update hh set myname=? where relation=?;";
Object[] params = {"憨憨LG",2};
int row = BaseDao_hh.commonExecuteUpdate(sql, params);
System.out.println(row > 0?"操作成功!":"操作失败!");
//查询信息
String sqll = "select * from hh;";
Object[] paramss= {};
ResultSet rs = BaseDao_hh.commonQuery(sqll, paramss);
try {
while(rs.next()) {
System.out.println(rs.getInt(2)+"--"+rs.getString(1));
}
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
2. 通过配置文件修改数据库连接相关字符串
配置文件 database.properties:
driver=com.mysql.jdbc.Driver
url=jdbc:mysql://127.0.0.1:3306/school?useUnicode=true&characterEncoding=utf-8
user=root
password=root
配置文件管理类 ConfigManager:
import java.io.IOException;
import java.io.InputStream;
import java.util.Properties;
/**
* 配置文件管理类
* 单例模式
* 读取database.properties配置文件
* Properties类通过键值对拿到里面的值
* @author hahaha
*/
public class ConfigManager {
//本类的实例对象
private static ConfigManager configManager = null;
//Properties类的对象,后面要用它操作文件,通过类构造方法创建实例的
private static Properties properties = null;
//私有的构造方法
private ConfigManager() {
properties = new Properties();
//要想使用该对象操作文件(类型必须是后缀名为.properties),需要加载输入流
InputStream is = ConfigManager.class.getClassLoader().getResourceAsStream("database.properties");
try {
properties.load(is);
//properties.get("driver");
//关闭流
is.close();
} catch (IOException e) {
e.printStackTrace();
}
}
//公共的获取实例的方法来创建对象,在这个方法里面控制单例
public static ConfigManager getInstance() {
if(configManager == null) {
configManager = new ConfigManager();
}
return configManager;
}
//读取配置文件里面的值
public String getValue(String key) {
return (String) properties.get(key);
}
}
模板 BaseDao:
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
/**
* jdbc操作数据库的基础模板
* @author hahaha
*/
public class BaseDao {
// 数据库连接相关字符串
public static final String DRIVER = ConfigManager.getInstance().getValue("driver");
public static final String URL = ConfigManager.getInstance().getValue("url");
public static final String USER = ConfigManager.getInstance().getValue("user");
public static final String PASSWORD = ConfigManager.getInstance().getValue("password");
// 创建数据库连接
public static Connection getConnection() {
Connection conn = null;
try {
// 1.加载驱动
Class.forName(DRIVER);
// 2.创建连接
conn = DriverManager.getConnection(URL, USER, PASSWORD);
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
}
return conn;
}
/**
* 增删改通用
* @param sql 查询的sql语句
* @param params 占位符的参数数组
* @return
*/
public static int commonExecuteUpdate(String sql,Object[] params) {
int row = 0;
Connection conn = null;
PreparedStatement pstmt = null;
try {
// 1.获取连接
conn = getConnection();
// 2.创建 preparedStatement 对象
pstmt = conn.prepareStatement(sql);
// 3.填充占位符
for(int i = 0;i < params.length;i++) {
pstmt.setObject(i+1, params[i]);
}
// 4.操作数据库 增删改
row = pstmt.executeUpdate();
} catch (SQLException e) {
e.printStackTrace();
}finally {
// 5.关闭资源
closeResourse(null, pstmt, conn);
}
return row;
}
/**
* 查询通用方法
* @param sql 查询的sql语句
* @param params 占位符数组
* @return
*/
public static ResultSet commonQuery(String sql,Object[] params) {
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try {
// 1.获取连接
conn = getConnection();
// 2.创建操作对象
pstmt = conn.prepareStatement(sql);
// 3.填充占位符
for(int i = 0;i < params.length;i++) {
pstmt.setObject(i+1, params[i]);
}
// 4.操作数据库 查
rs = pstmt.executeQuery();
} catch (SQLException e) {
e.printStackTrace();
}
return rs;
}
/**
* 关闭资源
* @param rs
* @param pstmt
* @param conn
*/
public static void closeResourse(ResultSet rs,PreparedStatement pstmt,Connection conn) {
if(rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(pstmt != null) {
try {
pstmt.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
文件位置:
配置文件 database.properties 需要建在 src 文件夹下。其他两个类我是在 src 夹下创建了一个和配置文件同级的 utils 包来存放。如果是自己试着玩,不创建 utils 包直接放在 src 夹下应该也不会报错,开发的话请根据公司项目开发规范来
八、总结