Java Database connectivity => JAVA数据库连接
JDBC 就是由 java提供的一套访问数据库的统一api. 使用这套api , 我们在 切换库时 十分方便. 并且切换库不会改变代码.学习成本也降低了.
在使用JAVA开发时,如果对数据库进行操作的时候并不知道使用数据库的规则标准,所以首先要导入数据库厂商提供的数据库对应的驱动包,来操作对应的数据库,但是JAVA连接的数据库并不唯一,不同的数据库对应于不同的驱动,对JAVA开发人员来说使用不同的数据库,要了解不同的规则,所以Sun公司定义了一套规范标准(即接口),每种数据库如果想与Java相连接,它的数据库驱动必须实现这一套规范。这样Java开发人员只需要了解JDBC这一套规范即可。降低了学习的成本。
1> 导包 ==> 导入厂商提供的数据库驱动. ==>例如: mysql-connector-java-5.0.8-bin.jar
2> 注册驱动
3> 连接数据库
4> 操作数据库(执行sql)
5> 关闭资源
@Test /** * jdbc 向数据库中插入数据 * @throws Exception */ public void fun() throws Exception{ //1、导入驱动类库 //2、注册驱动 方法一 // DriverManager.registerDriver(new com.mysql.jdbc.Driver()); /*方法二 采用这种方法比较好 如果调用registDriver 方法, 那么相当于创建了两个Driver对象,浪费资源. 使用forname的方式. 因为驱动类的名称是以字符串的形式填写,那么我们把该名称放到配置文件中, 每次从配置文件中读取.那么切换驱动类就非常方便. 也就意味着切换数据库方便.*/ Class.forName("com.mysql.jdbc.Driver"); //3、连接数据库 Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/jdbc", "root", "1234"); //4、操作数据库 创建Statement对象用于运送sql语句 Statement st = con.createStatement(); //sql语句 String sql = "INSERT INTO t_user VALUES(NULL,'wyd',23);"; //执行语句 插入删除增加都用executeUpdate st.executeUpdate(sql); //5、关闭资源 st.close(); con.close(); }
DriverManager 用于注册驱动,获得连接
Connection 代表连接 , 获得Statement对象
Statement 运送sql语句
ResultSet 将运行结果从数据库运回java端
/** * 向数据库中查询数据 * @throws Exception */ @Test public void fun2() throws Exception{ //1、导入驱动库 //2、注册驱动器 Class.forName("com.mysql.jdbc.Driver"); //3、连接数据库 Connection con = DriverManager.getConnection("jdbc:mysql://localhost:3306/jdbc","root","1211124"); //4、操作数据库 Statement st = con.createStatement(); //sql语句 String sql = "select * FROM t_user"; //执行查询语句 注意是executeQuery st.executeQuery(sql); //获取查询结果 ResultSet rs = st.getResultSet(); //打印查询结果 while (rs.next()) { int id = rs.getInt("id"); String name = rs.getString("name"); int age = rs.getInt("age"); System.out.println(id+" "+name+" "+age); } //5、关闭资源 st.close(); con.close(); }
DriverManager.getConnection("url","用户名","密码");
url 填写格式:
外层协议:内部协议://主机名称[ip地址]:端口号/库名?参数键1=参数值&参数键2=参数值
例:jdbc:mysql://localhost:3306/day15?useUnicode=true&characterEncoding=utf-8
结合上面说的方便切换数据库.
我们在书写时,也可以把上面3个参数,写到配置文件中.
☆ void clearBatch() 清除车上的语句.
---------------------以上3个方法是批量执行sql相关的---------------- ☆ boolean execute(String sql) 执行一个sql语句. 如果该语句返回结果集 返回值为true(select). 如果该 语句不返回结果集 返回false(insert update delete); ☆ ResultSet executeQuery(String sql) 执行一个有结果集的查询. 会将结果集包装到resultset对象中. (select) ☆ int executeUpdate(String sql) 执行一个没有结果集的语句. 会将语句影响的行数返回.(insert updatedelete) 结论: 执行查询语句时使用: executeQuery方法 执行增删改等语句时使用: executeUpdate方法
功能: 当执行的语句是查询语句时, resultSet对象用于封装查询结果.
方法:
☆ boolean next() 该方法让结果集中的指针(游标)往下移动一行.并且判断改行是否有数据。 有返回true, 没有返回false
☆ String getString(int cloumnCount) 从当前指向的行中获得String 类型的数据. 根据列所在的索引位置 取.
☆ String getString(String columnName) 从当前指向的行中获得String 类型的数据. 根据列名取.
getXXX系列方法 有很多种, 没对针对的都是数据库中的不同类型.数据库中的类型根getXXX方法如何对应?
数据库类型 对应的Get方法
----------------------------------------------------------------------------
char/varchar getString
int getInt
bigint getLong
float/double getFloat/getDouble
datetime/timestamp getDate
----------------------------------------------------------------------------
//1. next方法,向下移动并判断是否有内容 //2. getXXX方法,根据列索引或列名获得列的内容 public class Demo { @Test public void fun1() throws Exception{ //1 注册驱动 Class.forName("com.mysql.jdbc.Driver"); //2 获得连接 Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/day05", "root", "1234"); //3 创建Statement Statement st = conn.createStatement(); //4 书写sql String sql = "select * from t_user" ; //5 执行sql ResultSet rs = st.executeQuery(sql); //向下移动一行,并判断 while(rs.next()){ //有数据 //取数据:getXXX int id = rs.getInt(1);//获得第一列的值 //int id rs.getInt("id");// 获得id列的值 String name = rs.getString(2);//获得第二列的值 int age = rs.getInt(3);//获得第三列的值 System.out.println(id+"==>"+name+"==>"+age); } //6关闭资源 st.close(); conn.close(); } } /* 数据库类型 java类型 int int double double decimal double char String varchar String datetime Date timestamp Timestamp/Date */
1.boolean absolute(int row) 将指针移动到指定位置. 参数就是位置. 第一行的位置是1. 如果填写负数表示倒数.例如-1=>最后一行. 如果移动超出范围将会返回false.
2.void afterLast() 将光标移动到此 ResultSet 对象的末尾,正好位于最后一行之后。 (该行没有数据) 3.void beforeFirst() 将光标移动到此 ResultSet 对象的开头,正好位于第一行之前。(result的初始位置) 4.boolean first() 将光标移动到第一行 5.boolean last() 将光标移动到最后一行 6.boolean next() 光标向下移动一行. 7.boolean previous() next反方向移动.向上移动一行. ------------------------------------------------------------ 使用resultSet修改记录. 默认情况下resultSet 是不能反向修改数据库中的记录的. 需要在创建Statement对象时, 通过指定参数 创建一个可以产生 可以修改数据的resultSet对象的Statement Statement createStatement(int resultSetType, int resultSetConcurrency) 参数1 resultSetType - 结果集类型 ResultSet.TYPE_FORWARD_ONLY、 不支持结果集滚动,只能向前. ResultSet.TYPE_SCROLL_INSENSITIVE 支持滚动, 迟钝,不敏感的结果集.(默认的) ResultSet.TYPE_SCROLL_SENSITIVE 支持滚动, 敏感的结果集.但是效率底下 参数2 resultSetConcurrency - 结果是否支持修改类型 ResultSet.CONCUR_READ_ONLY 不支持修改 ResultSet.CONCUR_UPDATABLE 支持修改利用如下代码可以反向修改数据库中的数据:
String sql = "select * from emp"; Statement state = conn.createStatement(ResultSet.TYPE_FORWARD_ONLY,ResultSet.CONCUR_UPDATABLE); ResultSet rs = state.executeQuery(sql); rs.next(); rs.updateString("name", "haha"); rs.updateRow(); 结论: 不要使用resultSet 做修改的操作. 真的要做修改 我们要手写update语句来做. 修改的时候要知道对应的列名
// 结果集反向修改数据库 public class Demo3 { @Test public void fun1() throws Exception{ //1 注册驱动 Class.forName("com.mysql.jdbc.Driver"); //2 获得连接 Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/day05", "root", "1234"); //3 创建Statement Statement st = conn.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE,ResultSet.CONCUR_UPDATABLE); //4 书写sql String sql = "select * from t_user" ; //5 执行sql ResultSet rs = st.executeQuery(sql); //使用结果集 反向修改数据库 rs.next();//将光标移动到第一行 rs.updateString("name", "汤姆");// 修改第一行name列的值为中文汤姆 rs.updateRow();// 确认修改 //6关闭资源 st.close(); conn.close(); } }
try{ resultSet.close(); }catch(Exception e){ }finally{ try{ Statement.close(); }catch(Exception e){ } finally{ try{ Connection.close(); }catch(Exception e){ } } }
-- sql注入: 请尝试以下 用户名和密码.
/* 用户名:
密码: xxx
*/
-- 将用户名和密码带入sql语句, 如下:
SELECT * FROM USER WHERE NAME='xxx' OR 1=1 -- ' and password='xxx';
-- 发现sql语句失去了判断效果,条件部分成为了恒等式.
-- 导致网站可以被非法登录, 以上问题就是sql注入的问题.
-------------------------------------------------------------------------------------------
思考会出现什么问题?
将用户名密码带入sql语句,发现sql语句变成了如下形式:
SELECT * FROM t_student WHERE NAME='abcd'OR 1=1;-- ' AND PASSWORD='1234';
该sql语句就是一个 恒等条件.所以 一定会查询出记录. 造成匿名登陆.有安全隐患
如上问题,是如何解决呢?
1>解决办法:在运送sql时,我们使用的是Statement对象. 如果换成prepareStatement对象,那么就不会出现该问题.
2>sql语句不要再直接拼写.而要采用预编译的方式来做.
完成如上两步.即可解决问题.
*为什么使用PrepareStatement对象能解决问题?
>sql的执行需要编译. 注入问题之所以出现,是因为用户填写 sql语句 参与了编译. 使用PrepareStatement对象
>在执行sql语句时,会分为两步. 第一步将sql语句 "运送" 到mysql上编译. 再回到 java端 拿到参数 运送到mysql端.
>用户填写的 sql语句,就不会参与编译. 只会当做参数来看. 避免了sql注入问题;
>PrepareStatement 在执行母句相同, 参数不同的 批量执行时. 因为只会编译一次.节省了大量编译时间.效率会高.
----------------------------------------------------------------------
使用PrepareStatement对象 与 Statement对象的区别
1.Statement 可以先行创建, 然后将sql语句写入.
PrepareStatement 在创建时一定要传入 sql语句, 因为它要先运送到数据库执行预编译
api:
PreparedStatement pst = conn.prepareStatement(sql);
2. PrepareStatement 在执行之前 先要设置 语句中的参数.
api:
pst.setString(1, name); -- set方法的调用要看 参数的类型.
char/varchar setString
int setInt
double setDouble
datatime/timestamp setDate
3. Statement对象在真正执行时 传入sql语句 PrepareStatement 在执行之前已经 设置好了 sql语句 以及对应参数. 执行方法不需要参数
api:
ResultSet rs = pst.executeQuery();
@Test //演示使用PrepareStatement对象,解决sql注入问题 public void fun2() throws Exception{ String name ="xxx' OR 1=1 -- "; String password ="1234"; //1 获得连接 Connection conn= JDBCUtils.getConnection(); //2 拼装sql语句 String sql = "SELECT * FROM t_user WHERE NAME=? AND PASSWORD=?"; //3 获得PrepareStatement PreparedStatement ps = conn.prepareStatement(sql); //4 设置参数到ps对象中 ps.setString(1, name); ps.setString(2, password); //5 运送参数,执行sql并拿到结果 ResultSet rs = ps.executeQuery(); //5 根据结果判断是否登录成功 if(rs.next()){ System.out.println("登录成功!"); }else{ System.out.println("登录失败!"); } //6关闭资源 JDBCUtils.close(conn, ps, rs); }
create table mytext( id int primary key AUTO_INCREMENT, text text )
@Test //演示向mysql中存放大文本数据 //存储大文本必须使用PrepareStatement对象 public void fun1() throws Exception{ //1 获得连接 Connection conn = JDBCUtils.getConnection(); //2 书写sql String sql = "insert into mytext values(null,?)"; //3 创建PrepareStatement PreparedStatement ps = conn.prepareStatement(sql); //4 设置参数 //参数1:参数的索引 //参数2:需要保存的文本的流 //参数3:文件长度 File f = new File("src/text.txt"); FileReader reader = new FileReader(f); ps.setCharacterStream(1, reader, (int)f.length()); //5 执行sql int result = ps.executeUpdate(); System.out.println(result); //6关闭资源 JDBCUtils.close(conn, ps, null); }
create table myblob( id int primary key AUTO_INCREMENT, file blob ) @Test //演示向mysql中存放图片 //存储图片必须使用PrepareStatement对象 public void fun1() throws Exception{ //1 获得连接 Connection conn = JDBCUtils.getConnection(); //2 书写sql String sql = "insert into myblob values(null,?)"; //3 创建PrepareStatement PreparedStatement ps = conn.prepareStatement(sql); //4 设置参数 //参数1:参数的索引 //参数2:需要保存的图片的流 //参数3:图片文件长度 File f = new File("src/wg.PNG"); InputStream is = new FileInputStream(f); ps.setBinaryStream(1, is, (int)f.length()); //5 执行sql int result = ps.executeUpdate(); System.out.println(result); //6关闭资源 JDBCUtils.close(conn, ps, null); }
