本文介绍了JDBC的基本概念,包括数据库驱动、JDBC接口和使用步骤。详细讲解了如何通过URL连接数据库,以及使用Statement和PreparedStatement对象执行SQL操作。还强调了PreparedStatement在防止SQL注入方面的优势。最后,讨论了MySQL事务的原理,强调了事务的ACID属性和如何在Java中管理事务。
JDBC
数据库驱动
这里的驱动的概念和平时听到的那种驱动的概念是一样的,比如平时购买的声卡,网卡直接 插到计算机上面是不能用的,必须要安装相应的驱动程序之后才能够使用声卡和网卡,同样道理, 我们安装好数据库之后,我们的应用程序也是不能直接使用数据库的,必须要通过相应的数据库 驱动程序,通过驱动程序去和数据库打交道。
JDBC介绍
SUN公司为了简化、统一对数据库的操作,定义了一套Java操作数据库的规范(接口), 称之为JDBC。这套接口由数据库厂商去实现,这样,开发人员只需要学习jdbc接口,并通过jdbc 加载具体的驱动,就可以操作数据库。
u JDBC全称为:Java Data Base Connectivity 【Java数据库连接】
u 组成JDBC的2个包: Ø java.sql Ø javax.sql
使用JDBC
- 编写JDBC代码固定步骤:
① 加载驱动
② 获取与数据库的链接
③ 获取用于向数据库发送sql语句的statement
④ 向数据库发sql,并获取代表结果集的resultset
⑤ 取出结果集的数据
⑥ 关闭链接,释放资源
package TTGG;
import java.sql.*;
public class Test1 {
public static void main(String[] args) throws Exception {
Class.forName ("com.mysql.jdbc.Driver");//加载驱动
String username="root";
String password="dycc123456";
String url="jdbc:mysql://localhost:3306/springboot";
Connection connection = DriverManager.getConnection (url,username,password);//获取与数据库的连接
PreparedStatement statement = connection.prepareStatement ("select * from t_room");// 获取用于向数据库发送sql语句的statement
ResultSet resultSet = statement.executeQuery ();//向数据库发sql,并获取代表结果集的resultset
while (resultSet.next ()){
System.out.println (resultSet.getObject ("id"));
System.out.println (resultSet.getObject ("roomtype"));
System.out.println (resultSet.getObject ("price"));
}//取出结果集的数据
resultSet.close ();//关闭链接,释放资源
statement.close ();
connection.close ();
}
}
当运行程序,就会执行我们事先写好的Sql语句,得到查询结果返回到控制台,如图。
URL
URL用于标识数据库的位置,通过URL地址告诉JDBC程序连接哪个数据库,URL的写法为:
jdbc:mysql://localhost:3306/test?参数名:参数值
还有用户名和密码就是数据库的用户名和密码
JDBC实现对数据库的增删改查
增:
Statement st = conn.createStatement();
String sql = "insert into user(….) values(…..) ";
int num = st.executeUpdate(sql);
if(num>0){
System.out.println("插入成功!!!");
}
删:
Statement st = conn.createStatement();
String sql = “delete from user where id=1”;
int num = st.executeUpdate(sql);
if(num>0){
System.out.println(“删除成功!!!");
}
改:
Statement st = conn.createStatement();
String sql = “update user set name= ' ' where name= ' ' ";
int num = st.executeUpdate(sql);
if(num>0){
System.out.println(“修改成功!!!");
}
查:
Statement st = conn.createStatement();
String sql = “delete from user where id=1”;
int num = st.executeUpdate(sql);
if(num>0){
System.out.println(“删除成功!!!");
}
其实这四个操作的大致用法也大同小异,只需要把sql语句改一改就可以,查的话会多一个返回值
statement对象
- Jdbc中的statement对象用于向数据库发送SQL语句,想完成对数据库的增删改查,只需要通 过这个对象向数据库发送增删改查语句即可。
- Statement对象的executeUpdate方法,用于向数据库发送增、删、改的sql语句, executeUpdate执行完后,将会返回一个整数(即增删改语句导致了数据库几行数据发生了变 化)。
- Statement.executeQuery方法用于向数据库发送查询语句,executeQuery方法返回代表查询 结果的ResultSet对象
- executeQuery(String sql) :用于向数据发送查询语句。
- executeUpdate(String sql):用于向数据库发送insert、update或delete语句
- execute(String sql):用于向数据库发送任意sql语句
- addBatch(String sql) :把多条sql语句放到一个批处理中。
- executeBatch():向数据库发送一批sql语句执行
PreparedStatement对象
- PreperedStatement是Statement的子类
- 它的实例对象可以通过调用Connection.preparedStatement()方法获得,相对于Statement对象 而言:PreperedStatement可以避免SQL注入的问题。
- Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement可对 SQL进行预编译,从而提高数据库的执行效率。并且PreperedStatement对于sql中的参数, 允许使用占位符的形式进行替换,简化sql语句的编写
SQL注入
字符串拼接后的SQL语句是:
select * from users where username = ‘root’ or 1 = 1 and password = ‘"+password+"’;
运行到or的时候已经是条件成立,所以无论后面是否正确,无需验证密码即可登陆成功。
上面的问题都是通过在SQL语句中添加特殊的字符,构成关键字,改变了程序运行轨迹,从而 对数据进行操作。
SQL注入 :是指通过客户输入到后台的那些能到数据库得到数据的位置上,恶性的输入一些 对数据有害的操作。
PreparedStatement预编译防止SQL注入
PreparedStatement pst=new PreparedStatement();
String sql=”select * from user2 where name=?”
String userName=”lily”;
Pst.setString(1,userName);
pst=conn.prepareStatement(sql);
pst.setString(1,user.getName());
rs=pst.executeQuery();
条件里的用问号表示,然后再给问号赋值,这样就可以防止SQL注入的麻烦
Mysql事务
什么是事务?
事务是一组SQL语句,要么全部执行成功,要么全部执行失败。通常一个事务对应一个完整的业务(例如银行账户转账业务,该业务就是一个最小的工作单元)
- 事务的提交:COMMIT
- 事务的回滚:ROLLBACK
- 事务的关闭:CLOSE
有如下两张表
现在我们需要让丽颖给刘昊然转十块钱
public static void main(String[] args) {
Connection connection = null;
PreparedStatement preparedStatement = null;
try {
Class.forName("com.mysql.jdbc.Driver");
String url = "jdbc:mysql://localhost:3306/test";
connection = DriverManager.getConnection(url,"root","root");
// // 禁止jdbc自动提交事务
// connection.setAutoCommit(false);
preparedStatement = connection.prepareStatement("update user set money = money-? where id= ?");
preparedStatement.setInt(1,10);
preparedStatement.setInt(2,1);
preparedStatement.executeUpdate();
String str = null;
if(str.equals("")){
}
preparedStatement = connection.prepareStatement("update user1 set money = money+? where id = ?");
preparedStatement.setInt(1,10);
preparedStatement.setInt(2,1);
preparedStatement.executeUpdate();
// // 提交事务
// connection.commit();
} catch (Exception e) {
e.printStackTrace();
// // 回滚事务
// try {
// connection.rollback();
// } catch (SQLException e1) {
// e1.printStackTrace();
// }
}finally {
try {
preparedStatement.close();
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
结果
我们可以看到丽颖少了十块钱,但是刘昊然没有多十块钱,这显然是不应该被允许的。这个转账过程是一个事务,这两个SQL语句要么全部执行失败,要不全部成功。
所以这个时候我们应该禁止jdbc自动提交事务
connection.setAutoCommit(false);
然后再两条SQl语句执行完之后提交事务
connection.commit();
如果有异常则回滚事务
catch (Exception e) {
e.printStackTrace();
// 回滚事务
try {
connection.rollback();
} catch (SQLException e1) {
e1.printStackTrace();
}
}
扫一扫
2851
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
