JavaSE (回顾 JDBC 并完成查询)

回顾 JDBC 并完成查询

 

JDBC : (Java DataBase Connectivity) Java 连接数据库,Sun 公司推出的 Java 访问数据库的标准规范(接口)。

1、JDBC 是一种用于执行 sql 语句的 API。

2、JDBC 可以为多种关系型数据库提供统一访问入口。

3、JDBC 由一组 Java 工具类和 接口组成。

 

原理:

                                  

JDBC 是接口,驱动是接口的实现,没有驱动将无法完成与数据库连接,从而不能操作数据库每个数据库厂商需要提供自己的驱动,用来连接自己公司的数据库,也就是说驱动一般由各大数据库厂商提供。

当然还有第三方公司专门为某一类的数据库提供驱动,这样的驱动往往不是免费的。

 

例如 MySQL 的驱动是:mysql-connector-java-x.x.x-bin.jar

 

Junit 测试:

package com.ma.jdbc;

import org.junit.After;

import org.junit.Before;

import org.junit.Test;

public class TestJunit {

      

      public static void main(String[] args) {

            System.out.println("hello jdbc !");

            

      }

      

      @Test

      public void testJunit(){

            System.out.println("hello Junit !");

      }

      @Before

      public void testBefore(){

            System.out.println("Before testJunit !");

      }

      @After

      public void testAfter(){

            System.out.println("After testJunit !");

      }

}

 

JDBC 开发步骤:

 

1、注册驱动。

Class.forName("com.mysql.jdbc.Driver");

2、连接。

Connection conn = DriverManager.getConnection(url,username,password);

url = jdbc:mysql://localhost:3306/uer     //Oracle:2521

url = jdbc:mysql:///user

username:用户名

password:密码

 

3、获得 sql 语句执行者。

String sql = "insert into category(cid, cname) values('c007', '分类')";

Statement 语句执行代码 : Statement stmt = conn.createStatement();

 

 

4、执行 sql 语句。

int executeUpdate(String);//执行 insert, update, delete 语句(DML语句)。

ResultSet executeQuery(String sql);//执行 select 语句(DQL语句) 。

boolean execute(String sql);//执行 select 返回 true, 执行其他语句返回 false。

   

如果返回 true,需要使用 getResultSet()获得查询结果;

    如果返回 false,需要使用 getUpdateCount()获得影响行数。

执行批处理:(可选)

    

addBatch(String sql);

    clearBatch();

    executeBatch();

 

特点

    如果有参数,需要在 sql 语句中进行拼凑,存在 sql 注入问题。

 

5、处理结果。

ResultSrt 实际上就是一张二维的表格,它内部有一个“行光标”,光标默认的位置在“第一行上方”,我们可以调用 rs 对象的 next() 方法把“行光标”向下移动一行,当第一次调用 next() 方法时,“行光标”就到了第一行记录的位置,这时候就可以使用 ResultSet 提供的 getXXX(int col) 获取指定列的数据了:

rs.next();//光标移动到第一行

rs.getInt();//获取第一行第一列的数据

Object getObject(int col);//获取任意对象

String getString(int col);//获取字符串

int getInt(int col);//获取整型

double getDouble(int col);//获取双精度浮点型 

 

6、释放资源。

与 IO 流一样使用后的东西都需要关闭!关闭的顺序是先得到的后关闭,后得到的先关闭。

rs.close();

stmt.close();

con.close();

模拟登录

package com.ma.jdbc;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.ResultSet;

import java.sql.SQLException;

import java.sql.Statement;

import org.junit.Test;

/**

 * 测试 sql 注入问题

 * @author young

 *

 */

public class TestLogin {

      

      @Test

      public void testLogin(){

            try {

                  login("Jack","654321");

            }catch (Exception e) {

                  e.printStackTrace();

            }

            

      }

      /**

       * 用户登录方法

       * @param username

       * @param password

       * @throws ClassNotFoundException

       * @throws SQLException

       */

      public void login(String username, String password) throws ClassNotFoundException, SQLException{

            //1、注册驱动

            Class.forName("com.mysql.jdbc.Driver");

            

            //2、获取连接

            Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/user", "root","123456");

            

            //3、创建执行 sql 的对象

            Statement stmt = conn.createStatement();

            

            //4、书写 sql 语句

            String sql = "select * from t_user where "+"username = '"+username+"' and password = '"+password+"'";

            

            //5、执行 sql 语句

            ResultSet rs = stmt.executeQuery(sql);

            

            //6、对结果集处理

            if(rs.next()){

                  System.out.println("恭喜您,"+username+"登录成功!");

                  System.out.println(sql);

            }else{

                  System.out.println("账号或密码错误!");

            }

            if(rs != null){

                  rs.close();

            }

            if(stmt != null){

                  stmt.close();

            }

            if(conn != null){

                  conn.close();

            }

      

      }

}

 

    

恭喜您,Jack登录成功!

select * from t_user where username = 'Jack' and password = '654321'

 

SQL攻击

1、什么是 SQL 攻击

在需要用户输入的地方,用户输入的是 sql  语句的片段,最终用户输入的 sql 片段与我们 DAO 中写的语句合成一个完整的 Sql 语句。

3、防止  SQL 攻击

    1.过滤用用户输入的数据是否包含非法字符。

    2.分布校验,先使用用户名来查询用户,如果查到了,再比较密码。

    3.使用 PreparedStatement。

PreparedStatement 是什么?

    PreparedStatment 叫做预编译声明

    PreparedStatment 是 Statment 的子接口,可以使用 PreparedStatment 来替换 Statment

 

好处:

防止 SQL 攻击

提高代码的可读性

提高效率

public void login1(String username, String password) throws ClassNotFoundException, SQLException{

                        //1、注册驱动

                        Class.forName("com.mysql.jdbc.Driver");

                        

                        //2、获取连接

                        Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/user", "root","123456");

                        

                        //3、书写 sql 语句

                        String sql = "select * from t_user where username = ? and password = ?";

                        

                        

                        //4、创建预处理对象

                        PreparedStatement pstmt = conn.prepareStatement(sql);

                        

                        //5、设置参数

                        pstmt.setString(1, username);

                        pstmt.setString(2, password);

                        ResultSet rs = pstmt.executeQuery();

                        

                        //6、对结果集处理

                        if(rs.next()){

                              System.out.println("恭喜您,"+username+"登录成功!");

                              System.out.println(sql);

                        }else{

                              System.out.println("账号或密码错误!");

                        }

                        if(rs != null){

                              rs.close();

                        }

                        if(pstmt != null){

                              pstmt.close();

                        }

                        if(conn != null){

                              conn.close();

                        }

                        

      }

limit 分页查询

(limit 2(起始位置), 2(每页显示数目))

阅读更多
想对作者说点什么? 我来说一句

没有更多推荐了,返回首页