目录
JDBC的基本使用
JDBC的含义:
Java DataBase Connectivity,Java数据库连接
*JDBC定义了操作所有关系型数据库的规则(接口),各个数据库厂商去实现这套接口,提供数据库驱动jar包,我们可以使用这套接口编程,但真正执行的是驱动jar包中的实现类
使用JDBC流程:
1.导入驱动jar包:mysql-connector-java-5.1.37-bin.jar
2.注册驱动
3.获取数据库的连接对象 Connection
4.定义sql语句从而操纵数据库
5.获取执行sql语句的对象 Statement
6.执行sql,接受返回结果
7.处理结果
8.释放资源
下面简单介绍一个例子,以一个DML语句为例:
首先用IDEA创建好一个项目,然后在项目中创建一个libs文件夹,将jar包放入其中,并右击libs文件夹--Add as Library
之后看一下代码:
package cn.itcast.jdbc;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;
public class jdbcUpdate {
public static void main(String[] args) throws SQLException {
//0.抽取变量,复用
Statement stmt = null;
Connection conn = null;
try {
//1.注册驱动
Class.forName("com.mysql.jdbc.Driver");
//2.定义sql
String sql = "update account set balance = 1500 where id = 3";
//3.获取Connection对象,如果你访问的数据库端口是默认的3306,就可以省略成///
conn = DriverManager.getConnection("jdbcUtils:mysql:///mytest","root","root");
//4.获取执行sql的对象 Statement
stmt = conn.createStatement();
//5.执行sql
int count = stmt.executeUpdate(sql);//影响的行数
System.out.println(count);
//6.处理结果
if(count > 0){
System.out.println("修改成功");
}else{
System.out.println("修改失败");
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} finally {
//7.释放资源
if (stmt != null) {
try {
stmt.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (stmt != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
}
*有些方法会报红线让你处理异常,比如getConnection我们可以选择抛出异常,而释放资源的方法我们就选择try catch。
DQL语句和DML相比,在执行sql的过程有所变化:DML语句返回的是一个int类型的变量,告知你此条操作对数据库影响的行数,而DQL语句返回的是一个结果集ResultSet。依旧看例子:
package cn.itcast.jdbc;
import java.sql.*;
public class jdbcDQL {
public static void main(String[] args) {
//0.抽取变量,复用
Statement stmt = null;
Connection conn = null;
ResultSet rs = null; //结果集对象
try {
//1.注册驱动
Class.forName("com.mysql.jdbc.Driver");
//2.获取Connection对象
conn = DriverManager.getConnection("jdbcUtils:mysql:///mytest","root","root");
//3.定义sql
String sql = "select * from account";
//4.获取执行sql的对象Statement
stmt = conn.createStatement();
//5.执行sql
rs = stmt.executeQuery(sql);
//6.处理结果,循环判断游标是否是最后一行末尾
while(rs.next()){
//获取数据
int id = rs.getInt(1);
String name = rs.getString("name");
double balance = rs.getDouble(3);
System.out.println(id + "---" + name + "---" + balance);
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} finally {
//7.释放资源
if (stmt != null) {
try {
stmt.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (stmt != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
}
对上面两个例子中使用的类详解:https://blog.csdn.net/Marshallren/article/details/106875694
创建工具类、配置文件来降低代码的耦合度
上述的两个例子虽然可以实现功能,但明显有很多重复代码,如果我要多次进行查询/修改,如果用上面的代码明显耦合度太高;而且在获取Connection对象时,如果我们此时要更换操作的数据库,那么我们就得打开代码进行修改,这也是十分麻烦的。所以我们可以创建工具类和配置文件来完成注册驱动、获取连接对象、释放资源的功能
1.建立一个配置文件,通过配置文件来完成修改注册驱动、连接对象的操作,而不需要去动源码
//建立一个配置文件:jdbc.properties
url=jdbc:mysql:///mytest
user=root
password=root
driver=com.mysql.jdbc.Driver
2.建立一个util包,在内部创建一个jdbcUtils类
package cn.itcast.jdbc.util;
import java.io.FileReader;
import java.io.IOException;
import java.net.URL;
import java.sql.*;
import java.util.Properties;
public class jdbcUtils {
//配置文件的参数
private static String url;
private static String user;
private static String password;
private static String driver;
//文件的读取,只需要读取一次即可。使用静态代码块
static {
try {
//1.创建Properties集合类
Properties pro = new Properties();
//2.加载配置文件
//获取src路径下的文件方式:ClassLoader类加载器
ClassLoader classLoader = jdbcUtils.class.getClassLoader();
URL res = classLoader.getResource("jdbc.properties");
String path = res.getPath();
//加载配置文件的步骤也可以用这种方式
//pro.load(new FileReader("src/jdbc.properties"));
//3.从配置文件中获取数据,赋值
url = pro.getProperty("url");
user = pro.getProperty("user");
password = pro.getProperty("password");
driver = pro.getProperty("driver");
//4.注册驱动
Class.forName(driver);
} catch (IOException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}
/**
* 获取连接对象
* @return
*/
public static Connection getConnection() throws SQLException {
return DriverManager.getConnection(url,user,password);
}
/**
* 资源释放
* @param rs
* @param stmt
* @param conn
*/
public static void close(ResultSet rs, Statement stmt, Connection conn) {
if (rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (stmt != null) {
try {
stmt.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
3.创建一个类,封装数据表中的JavaBean
package cn.itcast.jdbc.domain;
import java.util.Date;
/**
* 封装Emp表数据的JavaBean
*/
public class Emp {
private int id;
private String ename;
private int job_id;
private int mgr;
private Date joindate;
private double salary;
private double bonus;
private int dept_id;
public int getId() {
return id;
}
public void setId(int id) {
this.id = id;
}
public String getEname() {
return ename;
}
public void setEname(String ename) {
this.ename = ename;
}
public int getJob_id() {
return job_id;
}
public void setJob_id(int job_id) {
this.job_id = job_id;
}
public int getMgr() {
return mgr;
}
public void setMgr(int mgr) {
this.mgr = mgr;
}
public Date getJoindate() {
return joindate;
}
public void setJoindate(Date joindate) {
this.joindate = joindate;
}
public double getSalary() {
return salary;
}
public void setSalary(double salary) {
this.salary = salary;
}
public double getBonus() {
return bonus;
}
public void setBonus(double bonus) {
this.bonus = bonus;
}
public int getDept_id() {
return dept_id;
}
public void setDept_id(int dept_id) {
this.dept_id = dept_id;
}
//方便打印
@Override
public String toString() {
return "Emp{" +
"id=" + id +
", ename='" + ename +
", job_id=" + job_id +
", mgr=" + mgr +
", joindate=" + joindate +
", salary=" + salary +
", bonus=" + bonus +
", dept_id=" + dept_id +
'}';
}
}
4.main主函数
package cn.itcast.jdbc;
import cn.itcast.jdbc.domain.Emp;
import cn.itcast.jdbc.util.jdbcUtils;
import java.sql.*;
import java.util.ArrayList;
import java.util.List;
public class jdbcUtilsAndDomain {
public static void main(String[] args) {
List<Emp> list = new jdbcUtilsAndDomain().findAll(); //调用查询所有对象方法
System.out.println(list);
}
/**
* 查询所有对象
*/
public List<Emp> findAll() {
//0.抽取变量,复用
Connection conn = null;
Statement stmt = null;
ResultSet rs = null;
List<Emp> list = null;
try {
//1.配置文件完成注册驱动、连接对象
conn = jdbcUtils.getConnection();
//2.定义sql
String sql = "select * from emp";
//4.获取执行sql的对象Statement
stmt = conn.createStatement();
//5.执行sql
rs = stmt.executeQuery(sql);
//6.处理结果,循环判断游标是否是最后一行末尾
Emp emp = null; //抽取对象,复用
list = new ArrayList<Emp>();
while(rs.next()){
int id = rs.getInt("id");
String ename = rs.getString("ename");
int job_id = rs.getInt("job_id");
int mgr = rs.getInt("mgr");
Date joindate = rs.getDate("joindate");
double salary = rs.getDouble("salary");
double bonus = rs.getDouble("bonus");
int dept_id = rs.getInt("dept_id");
//创建emp对象,将查询到的数据放入对象中
emp = new Emp();
emp.setId(id);
emp.setEname(ename);
emp.setJob_id(job_id);
emp.setMgr(mgr);
emp.setJoindate(joindate);
emp.setSalary(salary);
emp.setBonus(bonus);
emp.setDept_id(dept_id);
//装载集合
list.add(emp);
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
//7.调用释放资源工具类的静态方法
jdbcUtils.close(rs,stmt,conn);
}
return list;
}
}
解决SQL注入
当我们要用到一个输入框的情景,比如需要输入用户名、密码来登陆:
String sql = "select * from user where username = '"+username+"' and password ='"+password+"'";
如果我们不输入正常的用户名、密码,而是通过下面这种手段:用户名随便瞎打,密码输入a' or 'a' = 'a,则会出现以下结果:
这种通过字符串拼接成SQL语句的方式就是SQL注入,这是对数据库安全的很大挑战,必须解决这种问题
我们引进了一个新的类:PreparedStatement类,和Statement类一样,都是用于执行sql的,但PreparedStatement类还可以解决SQL注入问题。
解决方法:
1.参数使用?作为占位符
2.将Statement对象换成PreparedStatement对象
3.给占位符赋值
4.执行sql
演示例子:
package MyTest;
import cn.itcast.jdbc.util.jdbcUtils;
import java.sql.*;
import java.util.Scanner;
/**
* 需求:
* 1.通过键盘录入用户名和密码
* 2.判断用户是否登陆成功
*/
public class jdbcUtilsAntiInjection {
public static void main(String[] args) {
//1.键盘录入,接收用户名和密码
Scanner sc = new Scanner(System.in);
System.out.println("请输入用户名");
String username = sc.nextLine();
System.out.println("请输入密码");
String password = sc.nextLine();
//2.调用方法
boolean flag = new jdbcUtilsAntiInjection().login(username,password);
//3.判断结果,输出不同语句
if(flag){
System.out.println("登录成功!");
}else{
System.out.println("用户名或密码错误!");
}
}
/**
* 登录方法
*/
public boolean login(String username, String password){
if(username == null || password == null){
return false;
}
//0.抽取变量,复用
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try {
//1.调用获取连接工具类
conn = jdbcUtils.getConnection();
//2.定义sql
String sql = "select * from user where username = ? and password = ?";
//3.获取执行sql的对象
pstmt = conn.prepareStatement(sql);
//4.给?赋值
pstmt.setString(1,username);
pstmt.setString(2,password);
//5.执行查询,不需要带参数
rs = pstmt.executeQuery();
//6.如果有下一行数据,返回true
return rs.next();
} catch (SQLException e) {
e.printStackTrace();
} finally {
//7.调用释放资源工具类
jdbcUtils.close(rs,pstmt,conn);
}
return false;
}
}
*在这里的执行sql部分中,executeQuery()/executeUpdate()方法内都不需要写参数了