回顾 JDBC 并完成查询
JDBC : (Java DataBase Connectivity) Java 连接数据库,Sun 公司推出的 Java 访问数据库的标准规范(接口)。
1、JDBC 是一种用于执行 sql 语句的 API。
2、JDBC 可以为多种关系型数据库提供统一访问入口。
3、JDBC 由一组 Java 工具类和 接口组成。
原理:
JDBC 是接口,驱动是接口的实现,没有驱动将无法完成与数据库连接,从而不能操作数据库每个数据库厂商需要提供自己的驱动,用来连接自己公司的数据库,也就是说驱动一般由各大数据库厂商提供。
当然还有第三方公司专门为某一类的数据库提供驱动,这样的驱动往往不是免费的。
例如 MySQL 的驱动是:mysql-connector-java-x.x.x-bin.jar
Junit 测试:
package
com.ma.jdbc;
import
org.junit.After;
import
org.junit.Before;
import
org.junit.Test;
public
class
TestJunit {
public
static
void
main(String[] args) {
System.
out
.println(
"hello jdbc !"
);
}
@Test
public
void
testJunit(){
System.
out
.println(
"hello Junit !"
);
}
@Before
public
void
testBefore(){
System.
out
.println(
"Before testJunit !"
);
}
@After
public
void
testAfter(){
System.
out
.println(
"After testJunit !"
);
}
}
JDBC 开发步骤:
1、注册驱动。
Class.
forName(
"com.mysql.jdbc.Driver"
);
2、连接。
Connection
conn
= DriverManager.
getConnection
(
url
,
username
,
password
);
url = jdbc:mysql://localhost:3306/uer //Oracle:2521
url = jdbc:mysql:///user
username:用户名
password:密码
3、获得 sql 语句执行者。
String
sql
=
"insert into category(cid, cname) values('c007', '分类')"
;
Statement 语句执行代码 : Statement stmt = conn.createStatement();
4、执行 sql 语句。
int executeUpdate(String);//执行 insert, update, delete 语句(DML语句)。
ResultSet executeQuery(String sql);//执行 select 语句(DQL语句) 。
boolean execute(String sql);//执行 select 返回 true, 执行其他语句返回 false。
如果返回 true,需要使用 getResultSet()获得查询结果;
如果返回 false,需要使用 getUpdateCount()获得影响行数。
执行批处理:(可选)
addBatch(String sql);
clearBatch();
executeBatch();
特点
:
如果有参数,需要在 sql 语句中进行拼凑,存在 sql 注入问题。
5、处理结果。
ResultSrt 实际上就是一张二维的表格,它内部有一个“行光标”,光标默认的位置在“第一行上方”,我们可以调用 rs 对象的 next() 方法把“行光标”向下移动一行,当第一次调用 next() 方法时,“行光标”就到了第一行记录的位置,这时候就可以使用 ResultSet 提供的 getXXX(int col) 获取指定列的数据了:
rs.next();//光标移动到第一行
rs.getInt();//获取第一行第一列的数据
Object getObject(int col);//获取任意对象
String getString(int col);//获取字符串
int getInt(int col);//获取整型
double getDouble(int col);//获取双精度浮点型
6、释放资源。
与 IO 流一样使用后的东西都需要关闭!关闭的顺序是先得到的后关闭,后得到的先关闭。
rs.close();
stmt.close();
con.close();
模拟登录
package
com.ma.jdbc;
import
java.sql.Connection;
import
java.sql.DriverManager;
import
java.sql.ResultSet;
import
java.sql.SQLException;
import
java.sql.Statement;
import
org.junit.Test;
/**
* 测试
sql
注入问题
*
@author
young
*
*/
public
class
TestLogin {
@Test
public
void
testLogin
(){
try
{
login(
"Jack"
,
"654321"
);
}
catch
(Exception e) {
e.printStackTrace();
}
}
/**
* 用户登录方法
*
@param
username
*
@param
password
*
@throws
ClassNotFoundException
*
@throws
SQLException
*/
public
void
login(String username, String password)
throws
ClassNotFoundException, SQLException{
//1、注册驱动
Class.
forName
(
"com.mysql.jdbc.Driver"
);
//2、获取连接
Connection conn = DriverManager.
getConnection
(
"jdbc:mysql://localhost:3306/user"
,
"root"
,
"123456"
);
//3、创建执行
sql
的对象
Statement stmt = conn.createStatement();
//4、书写
sql
语句
String sql =
"select * from t_user where "
+
"username = '"
+username+
"' and password = '"
+password+
"'"
;
//5、执行
sql
语句
ResultSet rs = stmt.executeQuery(sql);
//6、对结果集处理
if
(rs.next()){
System.
out
.println(
"恭喜您,"
+username+
"登录成功!"
);
System.
out
.println(sql);
}
else
{
System.
out
.println(
"账号或密码错误!"
);
}
if
(rs !=
null
){
rs.close();
}
if
(stmt !=
null
){
stmt.close();
}
if
(conn !=
null
){
conn.close();
}
}
}
恭喜您,Jack登录成功!
select * from t_user where username = 'Jack' and password = '654321'
SQL攻击
1、什么是 SQL 攻击
在需要用户输入的地方,用户输入的是 sql 语句的片段,最终用户输入的 sql 片段与我们 DAO 中写的语句合成一个完整的 Sql 语句。
3、防止 SQL 攻击
1.过滤用用户输入的数据是否包含非法字符。
2.分布校验,先使用用户名来查询用户,如果查到了,再比较密码。
3.使用 PreparedStatement。
PreparedStatement 是什么?
PreparedStatment 叫做预编译声明
PreparedStatment 是 Statment 的子接口,可以使用 PreparedStatment 来替换 Statment
好处:
防止 SQL 攻击
提高代码的可读性
提高效率
public
void
login1(String username, String password)
throws
ClassNotFoundException, SQLException{
//1、注册驱动
Class.
forName
(
"com.mysql.jdbc.Driver"
);
//2、获取连接
Connection conn = DriverManager.
getConnection
(
"jdbc:mysql://localhost:3306/user"
,
"root"
,
"123456"
);
//3、书写
sql
语句
String sql =
"select * from t_user where username = ? and password = ?"
;
//4、创建预处理对象
PreparedStatement pstmt = conn.prepareStatement(sql);
//5、设置参数
pstmt.setString(1, username);
pstmt.setString(2, password);
ResultSet rs = pstmt.executeQuery();
//6、对结果集处理
if
(rs.next()){
System.
out
.println(
"恭喜您,"
+username+
"登录成功!"
);
System.
out
.println(sql);
}
else
{
System.
out
.println(
"账号或密码错误!"
);
}
if
(rs !=
null
){
rs.close();
}
if
(pstmt !=
null
){
pstmt.close();
}
if
(conn !=
null
){
conn.close();
}
}
limit 分页查询
(limit 2(起始位置), 2(每页显示数目))