JDBC
JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。是Java访问数据库的标准规范
JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。
JDBC需要连接驱动,驱动是两个设备要进行通信,满足一定通信数据格式,数据格式由设备提供商规定,设备提供商为设备提供驱动软件,通过软件可以与该设备进行通信。
JDBC是接口,驱动是接口的实现,没有驱动将无法完成数据库连接,从而不能操作数据库!每个数据库厂商都需要提供自己的驱动,用来连接自己公司的数据库,也就是说驱动一般都由数据库生成厂商提供。
JDBC操作数据库的步骤
1.注册驱动
- 告知JVM使用的是哪一个数据库的驱动
2.获得连接
- 使用JDBC中的类,完成对MySQL数据库的连接
3.获得语句执行平台
- 通过连接对象获取对SQL语句的执行者对象
4.执行sql语句
- 使用执行者对象,向数据库执行SQL语句;获取到数据库的执行后的结果
5.处理结果
6.释放资源 一堆close()
1、增删改操作
public static void main(String[] args)throws ClassNotFoundException,SQLException{ //registerDriver的参数传递MySQL驱动程序中的实现类 //DriverManager.registerDriver(new Driver()); //但是看MySQL的驱动类源代码,也进行了一次注册,这样就注册了2次驱动程序,所以我们要用反射技术 //1.注册驱动 反射技术,将驱动类加入到内容 // 使用java.sql.DriverManager类静态方法 registerDriver(Driver driver) Class.forName("com.mysql.jdbc.Driver"); //2.获得数据库连接 DriverManager类中静态方法 //static Connection getConnection(String url, String user, String password) //返回值是Connection接口的实现类,在mysql驱动程序 //url: 数据库地址 jdbc:mysql://连接主机IP:端口号//数据库名字 String url = "jdbc:mysql://localhost:3306/xingedb"; String username="root"; String password="xxx"; Connection conn = DriverManager.getConnection(url, username, password); //3.获得语句执行平台, 通过数据库连接对象,获取到SQL语句的执行者对象 // conn对象调用方法 Statement createStatement() 获取Statement对象,将SQL语句发送到数据库 // 返回值是 Statement接口的实现类对象,,在mysql驱动程序 Statement stat = conn.createStatement(); //4.执行sql语句 // 通过执行者对象调用方法执行SQL语句,获取结果 // int executeUpdate(String sql) 执行数据库中的SQL语句, insert delete update // 返回值int,操作成功数据表多少行 int row = stat.executeUpdate ("INSERT INTO sort(sname,sprice,sdesc) VALUES(‘汽车用品‘,50000,‘疯狂涨价‘)"); System.out.println(row); //6.释放资源 一堆close() stat.close(); conn.close(); }
2、查询操作
查询使用的是executeQuery方法
public static void main(String[] args) throws Exception{ //1. 注册驱动 Class.forName("com.mysql.jdbc.Driver"); //2. 获取连接对象 String url = "jdbc:mysql://localhost:3306/mybase"; String username="root"; String password="123"; Connection conn = DriverManager.getConnection(url, username, password); //3 .获取执行SQL 语句对象 Statement stat = conn.createStatement(); // 拼写查询的SQL String sql = "SELECT * FROM sort"; //4. 调用执行者对象方法,执行SQL语句获取结果集 // ResultSet executeQuery(String sql) 执行SQL语句中的select查询 // 返回值ResultSet接口的实现类对象,实现类在mysql驱动中 ResultSet rs = stat.executeQuery(sql); //5 .处理结果集 // ResultSet接口方法 boolean next() 返回true,有结果集,返回false没有结果集 while(rs.next()){ //获取每列数据,使用是ResultSet接口的方法 getXX方法参数中,建议写String列名 System.out.println(rs.getInt("sid")+" "+rs.getString("sname")+" "+rs.getDouble("sprice")+" "+rs.getString("sdesc")); } rs.close(); //查询还要关闭结果集 stat.close(); conn.close(); }
SQL注入攻击
3、解决SQL注入问题
预处理对象
使用PreparedStatement预处理对象时,建议每条sql语句所有的实际参数,都使用逗号分隔
查询
private static void func() throws ClassNotFoundException, SQLException { Class.forName("com.mysql.jdbc.Driver"); String url = "jdbc:mysql://127.0.0.1:3306/testdb"; String username = "root"; String password = "5456"; Connection conn = DriverManager.getConnection(url, username, password); String sql = "SELECT * FROM users WHERE uname=? AND passwd=?"; // 使用?做占位符 String uname = "a"; String passwd = "123456‘ OR ‘1"; // 调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类 PreparedStatement pst = conn.prepareStatement(sql); pst.setObject(1,uname); // 调用pst对象set方法,设置问号占位符上的参数 pst.setObject(2,passwd); ResultSet rs = pst.executeQuery(); while (rs.next()){ System.out.println(rs.getString("uname")+" "+rs.getString("passwd")); } }
增删改
public static void main(String[] args) throws Exception{ Class.forName("com.mysql.jdbc.Driver"); String url = "jdbc:mysql://localhost:3306/mybase"; String username="root"; String password="123"; Connection con = DriverManager.getConnection(url, username, password); //拼写修改的SQL语句,参数采用?占位 String sql = "UPDATE sort SET sname=?,sprice=? WHERE sid=?"; //调用数据库连接对象con的方法prepareStatement获取SQL语句的预编译对象 PreparedStatement pst = con.prepareStatement(sql); //调用pst的方法setXXX设置?占位 pst.setObject(1, "汽车美容"); pst.setObject(2, 49988); pst.setObject(3, 7); //调用pst方法执行SQL语句 pst.executeUpdate(); pst.close(); con.close(); }