JDBC
- JDBC工作原理
- JDBC的使用
- JDBC常用接口和类
- 数据库连接Connection
- Statement对象
- ResultSet对象
- SQL注入
- 练习
JDBC,即**
Java Database Connectivity**,java数据库连接。是一种用于执行SQL语句的Java API,它是Java中的数据库连接规范。这个API由 java.sql.
,javax.sql. 包中的一些类和接口组成,它为Java 开发人员操作数据库提供了一个标准的API,可以为多种关系数据库提供统一访问。
JDBC工作原理
JDBC 为多种关系数据库提供了统一访问方式,作为特定厂商数据库访问API的一种高级抽象,它主要包含一些通用的接口类。
JDBC访问数据库层次结构:
JDBC优势:
JDBC的使用
JDBC使用步骤总结
java">// 加载JDBC驱动程序:反射,这样调用初始化com.sql>mysql.jdbc.Driver类,即将该类加载到JVM方法区,并执行该类的静态方法块、静态属性。
Class.forName("com.sql>mysql.jdbc.Driver");
// 创建数据库连接
Connection connection =
DriverManager.getConnection("jdbc:sql>mysql://localhost:3306/test?
user=root&password=root&useUnicode=true&characterEncoding=UTF-8");
java">//MySQL数据连接的URL参数格式如下:
jdbc:sql>mysql://服务器地址:端口/数据库名?参数名=参数值
- 创建操作命令Statement
java">Statement statement = connection.createStatement();
- 使用操作命令来执行SQL
java">ResultSet resultSet= statement.executeQuery(
"select id, sn, name, qq_mail, classes_id from student");
- 处理结果集ResultSet
java">while (resultSet.next()) {
int id = resultSet.getInt("id");
String sn = resultSet.getString("sn");
String name = resultSet.getString("name");
int classesId = resultSet.getInt("classes_id");
System.out.println(String.format("Student: id=%d, sn=%s, name=%s,
classesId=%s", id, sn, name, classesId));
}
- 释放资源close
java">//关闭结果集
if (resultSet != null)
{
try {
resultSet.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
//关闭命令
if (statement != null) {
try {
statement.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
//关闭连接命令
if (connection != null) {
try {
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
JDBC常用接口和类
JDBC API
在Java JDBC编程中对数据库的操作均使用JDK自带的API统一处理,通常与特定数据库的驱动类是完全解耦的。Java JDBC API (位于 java.sql 包下)
数据库连接Connection
Connection接口实现类由数据库提供,获取Connection对象通常有两种方式:
一种是通过DriverManager(驱动管理类)的静态方法获取:
java">// 加载JDBC驱动程序
Class.forName("com.sql>mysql.jdbc.Driver");
// 创建数据库连接
Connection connection = DriverManager.getConnection(url);
一种是通过DataSource(数据源)对象获取。实际应用中会使用DataSource对象。
java">DataSource ds = new MysqlDataSource();
((MysqlDataSource) ds).setUrl("jdbc:sql>mysql://localhost:3306/test"); ((MysqlDataSource) ds).setUser("root");
((MysqlDataSource) ds).setPassword("root");
Connection connection = ds.getConnection();
以上两种方式的区别是:
- 1.DriverManager类来获取的Connection连接,是无法重复利用的,每次使用完以后释放资源 时,通过connection.close()都是关闭物理连接。
- 2.DataSource提供连接池的支持。连接池在初始化时将创建一定数量的数据库连接,这些连接是可以复用的,每次使用完数据库连接,释放资源调用connection.close()都是将Conncetion连接对象回收。
Statement对象
Statement对象主要是将SQL语句发送到数据库中。JDBC API中主要提供了三种Statement对象。
最常用的是PreparedStatement对象(有数据库连接池),以下对其的总结:
主要掌握两种执行SQL的方法:
- executeQuery() 方法执行后返回单个结果集的,通常用于select语句
- **executeUpdate()**方法返回值是一个整数,指示受影响的行数,通常用于update、insert、delete 语句
ResultSet对象
ResultSet对象它被称为结果集,它代表符合SQL语句条件的所有行,并且它通过一套getXXX方法提供 了对这些行中数据的访问。
ResultSet里的数据一行一行排列,每行有多个字段,并且有一个记录指针,指针所指的数据行叫做当前数据行,我们只能来操作当前的数据行。我们如果想要取得某一条记录,就要使用ResultSet的next() 方法 ,如果我们想要得到ResultSet里的所有记录,就应该使用while循环。
SQL注入
登录的界面,有账号和密码两个输入框,账号为123,密码也为123,当账号和密码都匹配的时候登录成功
底层的实现为:
java">select * from users where username='123' and password='123'
但当我们账号输入 123’ or 1 = 1 # 时,密码也同样输入 123’ or 1 = 1 #时竟然也可以登录成功,为什么呢
底层的实现为
sql">select * from users where username='123' or 1=1 #' and password='123' or 1=1 #'
按照 Mysql 语法,# 后面的内容会被忽略,所以以上语句等同于(实际上密码框里不输入任何东西也一样):
sql">select * from users where username='123' or 1=1
由于判断语句 or 1=1 恒成立,所以结果当然返回真,成功登录。
为什么PreparedStatement能防止sql注入呢?
因为sql语句是预编译的,而且语句中使用了占位符,规定了sql语句的结构。用户可以设置"?"的值,但是不能改变sql语句的结构,因此想在sql语句后面加上如“or 1=1”实现sql注入是行不通的。
实际开发中,一般采用PreparedStatement访问数据库,它不仅能防止sql注入,还是预编译的(不用改变一次参数就要重新编译整个sql语句,效率高),此外,它执行查询语句得到的结果集是离线的,连接关闭后,仍然可以访问结果集。
练习
java">import com.sql>mysql.jdbc.jdbc2.optional.MysqlDataSource;
import javax.sql.DataSource;
import java.sql.*;
public class Test {
public static void main1(String[] args) throws ClassNotFoundException, SQLException {
//1、加载驱动
Class.forName("com.sql>mysql.jdbc.Driver");
//2、获取连接
String url = "jdbc:sql>mysql://127.0.0.1:3306/test0315?useSSL=false";
String username = "root";//数据库的名称
String password = "102813";//数据库的密码
Connection connection =
DriverManager.getConnection(url,username,password);
//3.执行SQL语句
String sql = "select * from user ";
Statement statement = connection.createStatement();
//结果集
ResultSet resultSet = statement.executeQuery(sql);
if(resultSet.next()) {
System.out.println(resultSet.getInt(1));
System.out.println(resultSet.getString(2));
System.out.println(resultSet.getString(3));
}
}
public static void main2(String[] args) throws ClassNotFoundException, SQLException {
//1、加载驱动
Class.forName("com.sql>mysql.jdbc.Driver");
//2、获取连接
String url = "jdbc:sql>mysql://127.0.0.1:3306/test0315?useSSL=false";
String username = "root";//数据库的名称
String password = "102813";//数据库的密码
Connection connection =
DriverManager.getConnection(url,username,password);
//3.执行SQL语句
String sql = "select * from user ";
Statement statement = connection.createStatement();
//结果集
ResultSet resultSet = statement.executeQuery(sql);
User user = new User();
//json Gson
if(resultSet.next()) {
user.setId(resultSet.getInt(1));
user.setName(resultSet.getString(2));
user.setPassword(resultSet.getString(3));
}
System.out.println("查询到的数据是:"+user);
}
public static void main3(String[] args) throws ClassNotFoundException, SQLException {
//1、加载驱动
Class.forName("com.sql>mysql.jdbc.Driver");
//2、获取连接
String url = "jdbc:sql>mysql://127.0.0.1:3306/test0315?useSSL=false";
String username = "root";//数据库的名称
String password = "102813";//数据库的密码
Connection connection =
DriverManager.getConnection(url,username,password);
//3.执行SQL语句
String sql = "select * from user where name = 'bit' and password='123' ";
Statement statement = connection.createStatement();
//结果集
ResultSet resultSet = statement.executeQuery(sql);
User user = new User();
//json Gson
if(resultSet.next()) {
user.setId(resultSet.getInt(1));
user.setName(resultSet.getString(2));
user.setPassword(resultSet.getString(3));
}
System.out.println("查询到的数据是:"+user);
}
public static void main4(String[] args) throws ClassNotFoundException, SQLException {
//1、加载驱动
Class.forName("com.sql>mysql.jdbc.Driver");
//2、获取连接
String url = "jdbc:sql>mysql://127.0.0.1:3306/test0315?useSSL=false";
String username = "root";//数据库的名称
String password = "111111";//数据库的密码
Connection connection =
DriverManager.getConnection(url,username,password);
//3.执行SQL语句
String uname = "bit";
String upass = " 1' or '1' = '1 ";
String sql = "select * from user where name = ' "+uname+" ' and password=' "+upass+"' ";
System.out.println("SQL:"+sql);
Statement statement = connection.createStatement();
//结果集
ResultSet resultSet = statement.executeQuery(sql);
User user = new User();
if(resultSet.next()) {
user.setId(resultSet.getInt(1));
user.setName(resultSet.getString(2));
user.setPassword(resultSet.getString(3));
}
System.out.println("查询到的数据是:"+user);
}
public static void main5(String[] args) throws ClassNotFoundException, SQLException {
//1、加载驱动
//Class.forName("com.sql>mysql.jdbc.Driver");
//2、获取连接
String url = "jdbc:sql>mysql://127.0.0.1:3306/test0315?useSSL=false";
String username = "root";//数据库的名称
String password = "102813";//数据库的密码
//获取数据源
DataSource dataSource = new MysqlDataSource();
((MysqlDataSource)dataSource).setUrl(url);
((MysqlDataSource)dataSource).setUser(username);
((MysqlDataSource)dataSource).setPassword(password);
//MysqlDataSource sql>mysqlDataSource = new MysqlDataSource();
//Connection connection =DriverManager.
// getConnection(url,username,password);
Connection connection = dataSource.getConnection();
//3.执行SQL语句
String uname = "bit";
String upass = " 1' or '1' = '1 ";
//String sql = "select * from user where name = ' "+uname+" ' and password=' "+upass+"' ";
String sql = "select * from user where name = ? and password = ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1,uname);
preparedStatement.setString(2,upass);
System.out.println("sql:" + preparedStatement.toString());
//Statement statement = connection.createStatement();
//结果集
ResultSet resultSet = preparedStatement.executeQuery();
User user = new User();
//json Gson
if(resultSet.next()) {
user.setId(resultSet.getInt(1));
user.setName(resultSet.getString(2));
user.setPassword(resultSet.getString(3));
}
System.out.println("查询到的数据是:"+user);
resultSet.close();
preparedStatement.close();
connection.close();
}
public static void main6(String[] args) throws ClassNotFoundException, SQLException {
//1、加载驱动
//Class.forName("com.sql>mysql.jdbc.Driver");
//2、获取连接
String url = "jdbc:sql>mysql://127.0.0.1:3306/test0315?useSSL=false";
String username = "root";//数据库的名称
String password = "102813";//数据库的密码
DataSource dataSource = new MysqlDataSource();//获取数据源
((MysqlDataSource)dataSource).setUrl(url);
((MysqlDataSource)dataSource).setUser(username);
((MysqlDataSource)dataSource).setPassword(password);
//MysqlDataSource sql>mysqlDataSource = new MysqlDataSource();
//Connection connection =DriverManager.
// getConnection(url,username,password);
Connection connection = dataSource.getConnection();
//3.执行SQL语句
String uname = "zjc";
String upass = "000";
//String sql = "select * from user where name = ' "+uname+" ' and password=' "+upass+"' ";
String sql = "insert into user (id,name,password) values (?,?,?)";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setInt(1,2);
preparedStatement.setString(2,uname);
preparedStatement.setString(3,upass);
System.out.println("sql:" + preparedStatement.toString());
//Statement statement = connection.createStatement();
//结果集
int ret = preparedStatement.executeUpdate();
if(ret != 0) {
System.out.println("插入成功!");
}
preparedStatement.close();
connection.close();
}
public static void main7(String[] args) throws ClassNotFoundException, SQLException {
//1、加载驱动
//Class.forName("com.sql>mysql.jdbc.Driver");
//2、获取连接
String url = "jdbc:sql>mysql://127.0.0.1:3306/test0315?useSSL=false";
String username = "root";//数据库的名称
String password = "111111";//数据库的密码
DataSource dataSource = new MysqlDataSource();//获取数据源
((MysqlDataSource)dataSource).setUrl(url);
((MysqlDataSource)dataSource).setUser(username);
((MysqlDataSource)dataSource).setPassword(password);
//MysqlDataSource sql>mysqlDataSource = new MysqlDataSource();
//Connection connection =DriverManager.
// getConnection(url,username,password);
Connection connection = dataSource.getConnection();
//3.执行SQL语句
String uname = "zjc";
String upass = "000";
//String sql = "select * from user where name = ' "+uname+" ' and password=' "+upass+"' ";
String sql = "update user set name = ? where id = ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1,uname);
preparedStatement.setInt(2,2);
System.out.println("sql:" + preparedStatement.toString());
//Statement statement = connection.createStatement();
//结果集
int ret = preparedStatement.executeUpdate();
if(ret != 0) {
System.out.println("更新成功!");
}
preparedStatement.close();
connection.close();
}
public static void main(String[] args) throws ClassNotFoundException, SQLException {
//1、加载驱动
//Class.forName("com.sql>mysql.jdbc.Driver");
//2、获取连接
String url = "jdbc:sql>mysql://127.0.0.1:3306/test0315?useSSL=false";
String username = "root";//数据库的名称
String password = "102813";//数据库的密码
DataSource dataSource = new MysqlDataSource();//获取数据源
((MysqlDataSource)dataSource).setUrl(url);
((MysqlDataSource)dataSource).setUser(username);
((MysqlDataSource)dataSource).setPassword(password);
//MysqlDataSource sql>mysqlDataSource = new MysqlDataSource();
//Connection connection =DriverManager.
// getConnection(url,username,password);
Connection connection = dataSource.getConnection();
//3.执行SQL语句
//String sql = "select * from user where name = ' "+uname+" ' and password=' "+upass+"' ";
String sql = "delete from user where id=?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setInt(1,2);
System.out.println("sql:" + preparedStatement.toString());
//Statement statement = connection.createStatement();
//结果集
int ret = preparedStatement.executeUpdate();
if(ret != 0) {
System.out.println("删除成功!");
}
preparedStatement.close();
connection.close();
}
}
