一. JDBC是什么及 工作原理
持久化概念 :把数据保存到可掉电的设备里面存储;
JDBC: Java Database Connectivity Java访问数据库的解决方案。
1. 使用java代码发送sql语句的技术,JDBC定义了一套标准接口,即访问数据库的通用API,不同的数据库厂商根据各自数据库的特点去实现这些接口。
2. 组成JDBC的2个包为java.sql和javax.sql。开发JDBC应用需要这2个包的支持外,还需要导入相应JDBC的数据库实现(即数据库驱动)。
二. JDBC常用API
1. JDBC定义了一些接口
- 驱动管理 DriverManager
- 连接接口 Connection DatabasemetaData
- 语句对象接口 Statement PreparedStatement CallableStatement
- 结果集接口 ResultSet ResultMetaData
2. JDBC程序中的DriverManager用于加载驱动,并创建与数据库的连接,这个类的常用方法有:
DriverManager.registerDriver(new Driver()); DriverManager.getConnection(URL, user, password);
注意:在实际开发中不推荐采用registerDriver方法注册驱动,原因有二:
a. 查看Driver的源代码可以看到,如果采用此种方式,会导致驱动程序注册两次,也就是在内存中会有两个Driver对象;
b. 程序依赖mysql的api,脱离mysql的jar包,程序将无法编译,将来程序切换底层数据库将会非常麻烦。
推荐方式:Class.forName("com.mysql.jdbc.Driver");
采用此种方式不会导致驱动对象在内存中重复出现,并且采用此种方式,程序仅仅只需要一个字符串,不需要依赖具体的驱动,使程序的灵活性更高。同样,在开发中也不建议采用具体的驱动类型指向getConnection方法返回的Connection对象。
3.JDBC程序中的Connection对象用于代表数据库的连接,客户端与数据库所有交互都是通过Connection对象完成的.
createStatement(); //创建向数据库发送sql的statement对象 prepareStatement(sql); //创建向数据库发送预编译sql的prepareStatement对象。这个更常用 prepareCall(sql); //创建执行存储过程中的callableStatement对象 setAutoCommit(boolean autoCommit); //设置事物是否自动提交 ,在JDBC中,事务是默认提交的true. 必须先设置事务为手动提交false commit(); //在链接上提交事物 rollback(); //在此链接上回滚事物
4. JDBC程序中的Statement对象用于向数据库发送sql语句,Statement对象常用方法有:
executeQuery(String sql); //用于向数据库发送查询语句
executeUpdate(String sql); //用于向数据库发送insert,update或delete语句
execute(String sql); //用于向数据库发送任意sql语句
addBatch(String sql); //把多条sql语句放到一个批处理中
executeBath(); //向数据库发送一批sql语句执行
5. JDBC程序中的ResultSet对象用于代表sql语句的执行结果。
ResultSet封装执行结果时,采用的类似于表格的方式。ResultSet对象维护了一个指向表格数据行的游标,初始的时候,游标在第一行之前,调用该对象的next()方法,可以使游标指向具体的数据行,进行调用方法获取该行的数据。
由于ResultSet用于封装执行结果,所以该对象提供的都是用于获取数据的get方法:
//获取任意类型的数据 getObject(int index); //index表示列号 getObject(String columnName); //columnName表示列名,建议用这种方法,更好维护
//获取指定类型的数据(int,String,Date等) getString(int index); getString(String columnName);
ResultSet除了提供get方法以外,还提供了对结果集进行滚动的方法:
next(); //移动到下一行 previous(); //移动到前一行 absolute(int row); //移动到指定行 beforeFirst(); //移动到resultSet的最前面 afterLast(); //移动到resultSet的最后面
三. JDBC访问数据库的工作过程: 贾琏欲执事
- 加载驱动,建立连接
- 创建语句对象
- 执行SQL语句
- 处理结果集
- 关闭连接
// 1.注册驱动的两种方法: // 方法一: // Driver driver = new com.mysql.jdbc.Driver(); //创建一个mysql驱动 // DriverManger.registerDriver(driver); //注册mysql驱动 // 方法二:使用反射注册mysql驱动 Class.forName("com.mysql.jdbc.Driver"); // 2.通过DriverManger 驱动管理建立连接 Connection connection = DriverManager.getConnection(
"jdbc:mysql://localhost:3306/mysql001?useUnicode=true&characterEncoding=UTF-8","root", "root"); // 3.获得语句对象(需要SQL语句) String sql = "create table tb_user (`id` int(10) primary key auto_increment,`name` varchar(20),`age` int(10) );"; // 4.connction.createStatement() 创建一个Statement对象 将SQL语句发送到数据库; Statement stm= connection.createStatement(); stm.executeUpdate(sql); // 5.释放资源 stm.close(); connection.close();
四.代码重构. (把获取数据库连接和释放连接封装在方法里)
1. 参数是硬编码的代码中,不推荐使用,不利于代码维护。
/*1. 参数:
private static String driverName = "com.mysql.jdbc.Driver";
private static String url = "jdbc:mysql://localhost:3306/mysql001";
private static String userName = "root";
private static String passWorld = "root";
//2. 懒汉模式获取 JDBCUtil类的一个实例
private static JDBCUtil instance = null;
private JDBCUtil(){}
public static JDBCUtil getInstance(){
if(instance == null){
instance = new JDBCUtil();
}
return instance;
}
//3. 加载驱动
static{
try {
Class.forName(driverName);
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}
//4. 获得链接对象
public Connection getConn(){
Connection conn = null;
try {
return DriverManager.getConnection(url,userName,passWorld);
} catch (SQLException e) {
e.printStackTrace();
}
return conn;
}
//5. 关闭链接资源
public void close(ResultSet rs, Statement st, Connection conn){
try {
if(rs!=null) rs.close();
} catch (SQLException e) {
e.printStackTrace();
}finally {
try {
if(st!=null) st.close();
} catch (SQLException e) {
e.printStackTrace();
}finally {
try {
if(conn!=null) conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
*/
2.把参数放到资源文件中 jdbc.properties
driverName = com.mysql.jdbc.Driver url = jdbc:mysql://localhost:3306/mysql001 userName = root password = root
public class JDBCUtil {
static Properties prop = new Properties();
// 懒汉模式获取 JDBCUtil类的一个实例
private JDBCUtil(){}
private static JDBCUtil instance = null;
public static JDBCUtil getInstance(){
if(instance == null){
instance = new JDBCUtil();
}
return instance;
}
static{
try {
prop.load(new FileInputStream("jdbc.properties"));
Class.forName(prop.getProperty("driverName"));
} catch (Exception e) {
e.printStackTrace();
}
}
//获得链接对象
public Connection getConnection(){
Connection conn = null;
try {
conn = DriverManager.getConnection(prop.getProperty("url"),prop.getProperty("userName"),prop.getProperty("password"));
} catch (SQLException e) {
e.printStackTrace();
}
return conn;
}
//关闭所有链接资源
public void closeAll(ResultSet rs, Statement st, Connection conn){
try {
if(rs!=null) rs.close();
} catch (SQLException e) {
e.printStackTrace();
}finally {
try {
if(st!=null) st.close();
} catch (SQLException e) {
e.printStackTrace();
}finally {
try {
if(conn!=null) conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
}
五.domain 和 DAO 层认识
分层的目的:解耦,方便维护,责任分离;
1. 先创建一个domain包 ,在包里面创建相应的实体类 (Student)
2. 在domain包的同一级,建一个dao包,这个包里面写接口: ( IStudentDao )
3. 在dao这个包里面再建一个包: impl 包 ,实现dao包里面的接口。(StudentDaoImpl)
下面的代码,没有使用 prepareStatement ,所以不正规,建议别看。
1. com.domain 包 User 实体类
package com.domain;
public class User {
private String u_name;
private int u_age;
public String getU_name() {
return u_name;
}
public void setU_name(String u_name) {
this.u_name = u_name;
}
public int getU_age() {
return u_age;
}
public void setU_age(int u_age) {
this.u_age = u_age;
}
public User() {
}
public User(String u_name, int u_age) {
super();
this.u_name = u_name;
this.u_age = u_age;
}
@Override
public String toString() {
return "User [u_name=" + u_name + ", u_age=" + u_age + "]";
}
}
2. com.dao 包下的 IUserDao 接口
package com.dao;
import java.util.List;
import com.domain.User;
public interface IUserDao {
void addUserInfo(User user);
void deleteUserInfo(User user);
void updateUserAgeInfo(User user,int age);
User selectUserInfoByName(String name);
List<User> selectAllUserInfo();
}
3. com.dao.impl 包 UserDaoImpl 类
package com.dao.impl;
import org.junit.Test;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.ArrayList;
import java.util.List;
import com.Util.JDBCUtil;
import com.dao.IUserDao;
import com.domain.User;
public class UserDaoImpl implements IUserDao{
ResultSet rs = null;
Statement st = null;
Connection conn = null;
User user = null;
/*常见的异常错误:No operations allowed after connection closed.
因为 当 数据库的连接Connection是一个Static的,程序共享这一个Connection。
那么第一次对数据库操作没问题,当把Connection关闭后,第二次还想操作数据库时Connection肯定不存在了。
所以为了解决这个问题:我们最好把 创建Connection的实例写到每个操作的方法中。
*/
/* 1. 增加用户信息*/
@Test
public void addUserInfo(User user){
try {
conn = JDBCUtil.getInstance().getConnection();
st = conn.createStatement();
int row = st.executeUpdate("insert into tb_user (id,`name`,age)values(null,'"+user.getU_name()+"',"+user.getU_age()+")");
if(row > 0){
System.out.println("添加用户成功");
}
} catch (SQLException e) {
e.printStackTrace();
}
JDBCUtil.getInstance().closeAll(rs,st,conn);
}
/*2. 删除用户信息*/
@Test
public void deleteUserInfo(User user) {
try{
conn = JDBCUtil.getInstance().getConnection();
st = conn.createStatement();
int row = st.executeUpdate("delete from tb_user where name = '"+user.getU_name()+"'");
if(row > 0){
System.out.println("删除用户成功");
}
}catch (Exception e) {
e.printStackTrace();
}
JDBCUtil.getInstance().closeAll(rs,st,conn);
}
/*3. 修改用户信息*/
@Test
public void updateUserAgeInfo(User user,int age) {
try{
conn = JDBCUtil.getInstance().getConnection();
st = conn.createStatement();
int row = st.executeUpdate("update tb_user set age = "+age+" where name = '"+user.getU_name()+"'");
if(row > 0){
System.out.println("修改用户信息成功");
}
}catch (Exception e) {
e.printStackTrace();
}
JDBCUtil.getInstance().closeAll(rs,st,conn);
}
/*4. 通过name查询一个用户信息*/
@Test
public User selectUserInfoByName(String name) {
try{
//这里如果不写,当方法3中调用次方法时,就会因为 Connection 关闭而报错。
conn = JDBCUtil.getInstance().getConnection();
st = conn.createStatement();
rs = st.executeQuery("select * from tb_user where `name` = '"+name+"'");
while(rs.next()){
user = new User();
user.setU_name(rs.getString("name"));
user.setU_age(rs.getInt("age"));
}
}catch (Exception e) {
e.printStackTrace();
}
JDBCUtil.getInstance().closeAll(rs,st,conn);
return user;
}
/*5. 查询所有用户信息*/
@Override
public List<User> selectAllUserInfo() {
List<User> userlist = new ArrayList();
try{
conn = JDBCUtil.getInstance().getConnection();
st = conn.createStatement();
rs = st.executeQuery("select * from tb_user");
while(rs.next()){
User user = new User();
user.setU_name(rs.getString("name"));
user.setU_age(rs.getInt("age"));
userlist.add(user);
}
}catch (Exception e) {
e.printStackTrace();
}
JDBCUtil.getInstance().closeAll(rs,st,conn);
return userlist;
}
}
4. com.test 包 TestDao 测试类
package com.test;
import java.util.List;
import java.util.Scanner;
import org.junit.Test;
import com.dao.IUserDao;
import com.dao.impl.UserDaoImpl;
import com.domain.User;
public class TestDao {
IUserDao userdao = new UserDaoImpl();
@Test
public void addUserInfo(){
User user = new User("赵本本",75); //获取数据
userdao.addUserInfo(user); //将数据传到Dao层进行数据库操作
}
@Test
public void deleteUserInfo(){
User user = new User("赵本本",75);
userdao.deleteUserInfo(user);;
}
/*修改用户信息*/
@Test
public void updateUserAgeInfo(){
System.out.println("请输入要修改的用户姓名:");
String name = new Scanner(System.in).nextLine();
//将name传到dao层验证该用户是否存在
User user = userdao.selectUserInfoByName(name);
if(user != null){
System.out.println("请输入修改后的用户年龄:");
int age = new Scanner(System.in).nextInt();
//将user对象和age传到dao层进行修改数据操作
userdao.updateUserAgeInfo(user,age);;
}else{
System.out.println("不存在该用户,gameover!!");
}
}
@Test
public void selectUserInfoByName(){
System.out.println("请输入查询的学生姓名");
String name = "李四";
System.out.println(userdao.selectUserInfoByName(name));
}
@Test
public void selectAllUserInfo(){
List<User> userlist = userdao.selectAllUserInfo();
for (User user : userlist) {
System.out.println(user);
}
}
}
6. 数据库表:
CREATE TABLE `tb_user` ( `id` int(10) NOT NULL AUTO_INCREMENT, `name` varchar(20) DEFAULT NULL, `age` int(10) DEFAULT NULL, PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=11 DEFAULT CHARSET=utf8;
六 .Statement与PreparedStatement的区别
1. 用PreparedStatement 可以写 动态参数化的查询(带参数的sql查询语句),不需要我们去拼接字符串,比起凌乱的字符串追加似的查询,PreparedStatement查询可读性更好、更安全。
2. PrepareStatement是预处理语句 PreparedStatemnt的速度比Statement更快。
3. PreparedStatement可以防止SQL注入式攻击
- 如果你是做Java web应用开发的,那么必须熟悉那声名狼藉的SQL注入式攻击。在SQL注入攻击里,恶意用户通过SQL元数据绑定输入,比如:某个网站的登录验证SQL查询代码为
strSQL = "SELECT * FROM users WHERE name = '" + userName + "' and pw = '"+ passWord +"';
恶意填入:
userName = "1' OR '1'='1"; passWord = "1' OR '1'='1";
那么最终SQL语句变成了:
strSQL = "SELECT * FROM users WHERE name = '1' OR '1'='1' and pw = '1' OR '1'='1';
因为WHERE条件恒为真,这就相当于执行:
strSQL = "SELECT * FROM users;
因此可以达到无账号密码亦可登录网站。如果恶意用户要是更坏一点,用户填入
-
:strSQL = "SELECT * FROM users WHERE name = 'any_value' and pw = ''; DROP TABLE users";
-
这样一来,虽然没有登录,但是数据表都被删除了。
防SQL注入代码:
public Student login(String name, String password) {
PreparedStatement ps = null;
Connection conn = null;
try {
conn = JDBCUtil.getInstance().getConnection();
String sql = "select * from student where username = ? and password = ?";
ps = conn.prepareStatement(sql);
ps.setObject(1, name);
ps.setObject(2, password);
rs = ps.executeQuery();
while(rs.next()){
stu = new Student();
stu.setUserName(rs.getString("username"));
stu.setPassWord(rs.getString("password"));
stu.setAge(rs.getInt("age"));
stu.setSex(rs.getBoolean("sex"));
}
} catch (Exception e) {
e.printStackTrace();
}finally {
JDBCUtil.getInstance().closeAll(rs,ps,conn);
}
return stu;
}
@Test
public void login1(){
System.out.println("请输入用户名");
String name = new Scanner(System.in).nextLine();
System.out.println("请输入密码");
String password = new Scanner(System.in).nextLine();
// 这种方式 如果密码和用户名只要其中一个 使用 ' or 1=1 or ' 都能登录成功。
Student stu = studao.login(name, password);
if(stu!=null){
System.out.println("登录成功");
}else{
System.out.println("登录失败");
}
}
7.登录的三种方式
.登录的正规方式: 先判断用户名,再判断密码。
@Override
public Student login(String name) {
try {
conn = JDBCUtil.getInstance().getConnection();
String sql = "select * from student where username = ?";
PreparedStatement ps = conn.prepareStatement(sql);
ps.setString(1, name);
rs = ps.executeQuery();
while(rs.next()){
stu = new Student();
stu.setUserName(rs.getString("username"));
stu.setPassWord(rs.getString("password"));
stu.setAge(rs.getInt("age"));
stu.setSex(rs.getBoolean("sex"));
}
} catch (Exception e) {
}finally {
JDBCUtil.getInstance().closeAll(rs,st,conn);
}
return stu;
}
参考链接:https://www.cnblogs.com/shanheyongmu/p/5897176.html
https://blog.csdn.net/github_39430101/article/details/77844465