五大步骤
- 注册驱动(DriverManager管理驱动)
- 建立与数据库的连接
- 发送sql命令给数据库服务
- 接收数据库的返回结果并处理
- 释放资源
public static void queryById() throws SQLException { // 1.注册驱动(mysql的驱动注册)一般不这么写,下面有介绍 DriverManager.registerDriver(new Driver()); // 2.建立连接,这里需要传入url统一资源定位符,?useSSL=true是为了加密 Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/bd1906?useSSL=true", "root", "root"); //System.out.println(conn);这句话可以用来测试是否连接上 // 3.发送sql String sql = "select * from emp where empno = 7788"; // 创建statment对象,来发送命令 Statement stmt = conn.createStatement(); // 执行查询(增删改) ResultSet rs = stmt.executeQuery(sql); // 4.接受响应 // 逐行获取 while (rs.next()) { int empno = rs.getInt("empno"); String ename = rs.getString("ename"); String job = rs.getString("job"); int mgr = rs.getInt("mgr"); Date hiredate = rs.getDate("hiredate"); BigDecimal sal = rs.getBigDecimal("sal"); System.out.println(empno + ":" + ename + ":" + job + ":" + mgr + ":" + hiredate + ":" + sal); } // 5.释放资源 rs.close(); stmt.close(); conn.close(); }
上诉各个对象的详解
1. DriverManager:驱动管理对象
- 功能:
1. 注册驱动:告诉程序该使用哪一个数据库驱动jar
这个类下面有一个方法static void registerDriver(Driver driver) :注册与给定的驱动程序 DriverManager 。
但是写代码使用: Class.forName("com.mysql.jdbc.Driver");
通过查看com.mysql.jdbc.Driver源码发现:在com.mysql.jdbc.Driver类中存在静态代码块
static {
try {
java.sql.DriverManager.registerDriver(new Driver());
} catch (SQLException E) {
throw new RuntimeException("Can't register driver!");
}
}
注意:mysql5之后的驱动jar包可以省略注册驱动的步骤。在libs/mysql-connector-java-5.1.37-bin.jar!/META-INF/services/java.sql.Driver文件里面有com.mysql.jdbc.Driver,不写的话系统默认会帮你注册,但是很多人不知道,建议加上。
2. 获取数据库连接:
- 方法:static Connection getConnection(String url, String user, String password)
- 参数
- url:指定连接的路径
- 语法:jdbc:mysql://ip地址(域名):端口号/数据库名称
- 例子:jdbc:mysql://localhost:3306/db3
- 细节:如果连接的是本机mysql服务器,并且mysql服务默认端口是3306,则url可以简写为:jdbc:mysql:///数据库名称
- user:用户名
- password:密码
2. Connection:数据库连接对象
1. 功能:
1. 获取执行sql 的对象
- Statement createStatement()
- PreparedStatement prepareStatement(String sql)
2. 管理事务:
- 开启事务:setAutoCommit(boolean autoCommit) :调用该方法设置参数为false,即开启事务
- 提交事务:commit()
- 回滚事务:rollback()
3. Statement:执行sql的对象
1. 执行sql
1. boolean execute(String sql) :可以执行任意的sql 了解
2. int executeUpdate(String sql) :执行DML(insert、update、delete)语句、DDL(create,alter、drop)语句
- 返回值:DML返回影响的行数,可以通过这个影响的行数判断DML语句是否执行成功 返回值>0的则执行成功,反之,则失败。DDL返回0
3. ResultSet executeQuery(String sql) :执行DQL(select)语句
这里写一个插入的方法(删、改、查的操作类似)
先上一个部门类
package entity;
/**
* 部门类
*/
public class Dept {
private int deptno;
private String dname;
private String loc;
public Dept() {
super();
}
public Dept(int deptno, String dname, String loc) {
super();
this.deptno = deptno;
this.dname = dname;
this.loc = loc;
}
public int getDeptno() {
return deptno;
}
public void setDeptno(int deptno) {
this.deptno = deptno;
}
public String getDname() {
return dname;
}
public void setDname(String dname) {
this.dname = dname;
}
public String getLoc() {
return loc;
}
public void setLoc(String loc) {
this.loc = loc;
}
@Override
public String toString() {
return "dept [deptno=" + deptno + ", dname=" + dname + ", loc=" + loc + "]";
}
}
然后是增加的方法
public static void insertDept(Dept dept) throws Exception {
//这种写法比上面写法好,上面创建了2个对象
Class.forName("com.mysql.jdbc.Driver");
Connection conn = DriverManager.getConnection("jdbc:mysql:///bd1906?useSSL=true", "root", "root");
String sql = "insert into dept values(" + dept.getDeptno() + ",'" + dept.getDname() + "','" + dept.getLoc()
+ "')";
Statement stmt = conn.createStatement();
//这里返回的是影响的行数,所以要用int来接收
int rows = stmt.executeUpdate(sql);
System.out.println(rows);
stmt.close();
conn.close();
}接着模拟一下用户的登录
public static void login(String name, String password) {
//一般写在try块外
Connection conn = null;
Statement stmt = null;
ResultSet rs = null;
try {
Class.forName("com.mysql.jdbc.Driver");
conn = DriverManager.getConnection("jdbc:mysql:///bd1906?useSSL=true", "root", "root");
String sql = "select * from user where userName = '" + name + "' and password = '" + password + "'";
stmt = conn.createStatement();
rs = stmt.executeQuery(sql);
//如果查询到有记录,就说明匹配上了就可以登录
if (rs.next()) {
System.out.println("登录成功");
} else
System.out.println("登录失败");
} catch (SQLException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
} finally {
try {
if (rs != null)
rs.close();
if (stmt != null)
stmt.close();
if (conn != null)
conn.close();
} catch (Exception e) {
e.printStackTrace();
}
}
}
这种写法是有一点瑕疵的,比如我调用的时候这样写
login("'or 1 = 1 or username ='","");
转换成sql语言就成了
select * from user where userName = '' or 1 = 1 or userName = '' and password = "";
这里巧妙的使用了’'将userName变成空,然后再给了一个恒等式,所以这样不需要密码都能登录
下面使用PreparedStatement来进行改进
public static void login2(String name, String password) {
Connection conn = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
Class.forName("com.mysql.jdbc.Driver");
conn = DriverManager.getConnection("jdbc:mysql:///bd1906?useSSL=true", "root", "root");
String sql = "select * from user where userName = ? and password = ?";
//prepareStatement方面里面可以直接传sql
ps = conn.prepareStatement(sql);
//调用它里面的方法,是什么类型就传什么,不知道类型可以传Object(对应的位置,参数);
ps.setString(1, name);
ps.setString(2, password);
//这里接收就不用传sql了
rs = ps.executeQuery();
if (rs.next()) {
System.out.println("登录成功");
} else
System.out.println("登录失败");
} catch (SQLException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
} finally {
try {
if (rs != null)
rs.close();
if (ps != null)
ps.close();
if (conn != null)
conn.close();
} catch (Exception e) {
e.printStackTrace();
}
}
}
Statement采用字符串拼接的方式实现赋值,无法充分实现字符串的校验,产生sql注入的风险。
PreparedStatement是Statement的子接口,采用预编译和占位符的方式实现赋值。
PreparedStatement:执行sql的对象
1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题
1. 输入用户随便,输入密码:a' or 'a' = 'a
2. sql:select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a'
2. 解决sql注入问题:使用PreparedStatement对象来解决
3. 预编译的SQL:参数使用?作为占位符
4. 步骤:
1. 导入驱动jar包 mysql-connector-java-5.1.37-bin.jar
2. 注册驱动
3. 获取数据库连接对象 Connection
4. 定义sql
* 注意:sql的参数使用?作为占位符。 如:select * from user where username = ? and password = ?;
5. 获取执行sql语句的对象 PreparedStatement Connection.prepareStatement(String sql)
6. 给?赋值:
* 方法: setXxx(参数1,参数2)
* 参数1:?的位置编号 从1 开始
* 参数2:?的值
7. 执行sql,接受返回结果,不需要传递sql语句
8. 处理结果
9. 释放资源
注意:后期都会使用PreparedStatement来完成增删改查的所有操作
1. 可以防止SQL注入
2. 效率更高
开发中我们一般会使用在自定义JDBCUtils工具类来封装上述操作。
