本文详细介绍了JDBC的基本概念,包括其作用、本质及入门案例的实现步骤。深入解析了JDBC中的关键类如DriverManager、Connection、Statement、ResultSet的功能与使用方法。同时,讨论了如何通过工具类简化代码,防范SQL注入攻击,并介绍了事务管理。
JDBC
JDBC的作用:
通过JAVA语言操作关系型数据库.
JDBC的本质:
JAVA官方提供的一套规范(其实就是接口),用于帮助开发人员快速实现不同关系型数据库的连接,实现对数据库的增删改查操作.
编写JDBC入门案列步骤
1.导入jar包
2.注册驱动
3.获取连接
4.获取执行者对象
5.执行sql语句并且返回结果
6.处理结果
7.释放资源
入门案列实现代码:
package com.itheima01;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
public class JDBCDemo01 {
public static void main(String[] args) throws Exception{
//1.导入jar包
//2.注册驱动
Class.forName("com.mysql.jdbc.Driver");
//3.获取连接
Connection con = DriverManager.getConnection("jdbc:mysql://192.168.59.129:3306/db2","root","itheima");
//4.获取执行者对象
Statement stat = con.createStatement();
//5.执行sql语句,并且接收结果
String sql = "SELECT * FROM user";
ResultSet rs = stat.executeQuery(sql);
//6.处理结果
while(rs.next()) {
System.out.println(rs.getInt("id") + "\t" + rs.getString("name"));
}
//7.释放资源
con.close();
stat.close();
con.close();
}
}
JDBC功能类详解:
1. DriverManager驱动管理对象
① 注册驱动
注册给定的驱动程序:static void registerDriver(Driver driver);
写代码使用:Class.forName(“com.mysql.jdbc.Driver”);
在com.mysql.jdbc.Driver类中存在静态代码块
注意:
1. 我们不需要通过DriverManager调用静态方法registerDriver(),因为只要Driver类被使用,则会执行其静态代码块完成注册驱动
2. mysql5之后可以省略注册驱动的步骤。在jar包中,存在一个java.sql.Driver配置文件,文件中指定了com.mysql.jdbc.Driver
② 获取数据库连接
获取数据库连接对象:static Connection getConnection(String url, String user, String password);
返回值:Connection 数据库连接对象
参数
url:指定连接的路径。语法:jdbc:mysql://ip地址(域名):端口号/数据库名称
user:用户名
password:密码
2. Connection数据库连接对象
① 获取执行者对象
获取普通执行者对象:Statement createStatement();
获取预编译执行者对象:PreparedStatement prepareStatement(String sql);
② 管理事务
开启事务:setAutoCommit(boolean autoCommit); 参数为false,则开启事务。
提交事务:commit();
回滚事务:rollback();
③ 释放资源
立即将数据库连接对象释放:void close();
3. Statement执行sql语句的对象
① 执行增删改语句:int executeUpdate(String sql);
返回值int:返回影响的行数。
参数sql:可以执行insert、update、delete语句。
② 执行查询语句: ResultSet executeQuery(String sql);
返回值ResultSet:封装查询的结果。
参数sql:可以执行select语句。
③ 释放资源
立即将执行者对象释放:void close();
4. ResultSet结果集对象
① 判断结果集中是否还有数据:boolean next();
有数据返回true,并将索引向下移动一行。
没有数据返回false。
② 获取结果集中的数据:XXX getXxx(“列名”);
XXX代表数据类型(要获取某列数据,这一列的数据类型)。
例如:String getString(“name”); int getInt(“age”);
③ 释放资源
立即将结果集对象释放:void close();
通过编写代码发现不管是是执行修改操作还是执行查询操作都有大量的冗余代码,那我们能不能将那些重复性代码封装称为一个Util类呢?
JDBC工具类
作用:简化咱们获取链接以及关闭资源的代码
实现步骤:
- 配置文件
- 加载配置文件
- 获取链接方法
- 释放资源方法
实现代码:
1.编写配置文件
在src目录下创建config.properties配置文件
2.编写jdbc工具类
package com.itheima02.utils;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;
/*
JDBC工具类
*/
public class JDBCUtils {
//1.私有构造方法
private JDBCUtils(){}
//2.声明所需要的配置变量
private static String driverClass;
private static String url;
private static String username;
private static String password;
private static Connection con;
//3.提供静态代码块。读取配置文件的信息为变量赋值,注册驱动
static{
try {
//读取配置文件的信息为变量赋值
InputStream is = JDBCUtils.class.getClassLoader().getResourceAsStream("config.properties");
Properties prop = new Properties();
prop.load(is);
driverClass = prop.getProperty("driverClass");
url = prop.getProperty("url");
username = prop.getProperty("username");
password = prop.getProperty("password");
//注册驱动
Class.forName(driverClass);
} catch (Exception e) {
e.printStackTrace();
}
}
//4.提供获取数据库连接方法
public static Connection getConnection() {
try {
con = DriverManager.getConnection(url,username,password);
} catch (SQLException e) {
e.printStackTrace();
}
return con;
}
//5.提供释放资源的方法
public static void close(Connection con, Statement stat, ResultSet rs) {
if(con != null) {
try {
con.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(stat != null) {
try {
stat.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
public static void close(Connection con, Statement stat) {
if(con != null) {
try {
con.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(stat != null) {
try {
stat.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
SQL注入攻击
1.什么是sql注入攻击?
就是利用sql语句的漏洞来对系统进行攻击
2.简单实现sql注入攻击
SELECT * FROM user WHERE loginname= '' or 1 = 1 -- AND password='" + password + "'
当我们这条sql语句被Statement对象执行时,我们不需要正确的账号以及密码即可达到登录成功的目的
3.sql注入攻击的原理
①按照正常道理来说,我们在登录时必须要输入正确的账号以及密码才能登录成功
②但是现在Statement对象在执行sql语句时,将密码的一部分内容当做查询条件来执行了
意思也就是说我们在编写JDBC代码时使用了Statement对象在执行sql语句时,只要我们编写的sql语句字符串拼接成立,即可达到错误的账号以及密码实现登录成功的的功能
SQL注入攻击的解决
PreparedStatement 预编译执行者对象
- 在执行sql语句之前,将sql语句进行提前编译。明确sql语句的格式后,就不会改变了。剩余的内容都会认为是参数!
- SQL语句中的参数使用?作为占位符
- 为?占位符赋值的方法:setXxx(参数1,参数2);
Xxx代表:数据类型
参数1:?的位置编号(编号从1开始) 参数2:?的实际参数
- 执行SQL语句
执行insert、update、delete语句:int executeUpdate();
执行select语句:ResultSet executeQuery();
JDBC管理事务
1. JDBC如何管理事务
管理事务的功能类:Connection
开启事务:setAutoCommit(boolean autoCommit); 参数为false,则开启事务。
提交事务:commit();
回滚事务:rollback();
注意:事务的管理需要在业务层实现,因为dao层的功能要给很多模块提供功能的支撑,而有些模块是不需要事务的。
扫一扫
2758
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
