JDBC的基本操作流程以及Statement和PreparedStateMent的区别

JDBC

一、概述

JDBC：Java Database Connectivity，它是代表一组独立于任何数据库管理系统（DBMS）的API，声明在java.sql与javax.sql包中，是SUN(现在Oracle)提供的一组接口规范。由各个数据库厂商来提供实现类，这些实现类的集合构成了数据库驱动jar。

二、JDBC使用步骤

• 注册驱动
  三部曲：

  • 将DBMS数据库管理软件的驱动jar拷贝到项目的libs目录中

  • 把驱动jar添加到项目的build path中

  • 将驱动类加载到内存中

注意：MySQL 8是这个Class.forName(“com.mysql.cj.jdbc.Driver”)不写cj会报错;MySQL 5是这个Class.forName(“com.mysql.jdbc.Driver”);

• 获取Connection连接对象

Connection conn = DriverManager.getConnection(url,username,password);

url：jdbc:mysql://localhost:3306/数据库名?参数名=参数值

• 执行sql并处理结果

  • 编写sql
  • 创建Statement或PreparedStatement对象
  • 执行sql 增删改：调用executeUpate方法;查询：调用executeQuery方法

• 处理结果

  • 增删改：返回的是整数值即影响的行数
  • 查询：返回ResultSet结果，需要使用next()和getXxx()结合进行遍历

• 释放连接

示例代码1：增、删、改

public class TestJDBC {
    
    
	public static void main(String[] args) throws ClassNotFoundException, SQLException {
    
    
		//1、注册驱动
		//(1)方式一：Class.forName("驱动类的全名称")
		Class.forName("com.mysql.cj.jdbc.Driver");
//		(2)创建驱动类的对象
//		new com.mysql.cj.jdbc.Driver();//硬编码
		//(3)通过DriverManager注册驱动
//		DriverManager.registerDriver(new com.mysql.cj.jdbc.Driver());//硬编码
		
		//2、获取连接，连接数据库
        //TCP/IP协议编程，需要服务器的IP地址和端口号
		//mysql的url格式：jdbc协议:子协议://主机名:端口号/要连接的数据库名
		String url = "jdbc:mysql://localhost:3306/test?serverTimezone=UTC";//其中test是数据库名;serverTimezone是时区不设置可能报错
		String user = "root";
		String password = "123456";
		Connection conn = DriverManager.getConnection(url, user, password);
	
		//3、执行sql
		//添加一个部门到数据库的t_department表中
		//(1)编写sql
		String sql = "insert into t_department values(null,'计算部2','计算钞票2')";
		/*
		 * 回忆：	TCP/IP程序时
		 * Socket代表连接
		 * socket.getOutputStream()来发送数据，
		 * socket.getInputStream()来接收数据
		 * 
		 * 可以把Connection比喻成Socket
		 *    把Statement比喻成OutputStream
		 */
		//(2)获取Statement对象
		Statement st = conn.createStatement();
		//(3)执行sql
		int len = st.executeUpdate(sql);
		//(4)处理结果
		System.out.println(len>0?"成功":"失败");
		
		//4、关闭
		st.close();
		conn.close();
	}
}

示例代码2：查询

public class TestSelect {
    
    
	public static void main(String[] args) throws Exception{
    
    
		// 1、注册驱动
		Class.forName("com.mysql.cj.jdbc.Driver");

		// 2、连接数据库
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=UTC", "root", "123456");

		// 3、执行sql
		String sql = "SELECT * FROM t_department";
		Statement st = conn.createStatement();
		
		ResultSet rs = st.executeQuery(sql);//ResultSet看成InputStream
		while(rs.next()){
    
    //next()表示是否还有下一行
			Object did = rs.getObject(1);//获取第n列的值
			Object dname = rs.getObject(2);
			Object desc = rs.getObject(3);
			/*
			int did = rs.getInt("did");//也可以根据列名称，并且可以按照数据类型获取
			String dname = rs.getString("dname");
			String desc = rs.getString("description");
			 */
			
			System.out.println(did +"\t" + dname + "\t"+ desc);
		}

		// 4、关闭
		rs.close();
		st.close();
		conn.close();
	}
}

三、使用PreparedStatement处理CRUD

1、为什么使用PreparedStatement处理CRUD？

Statement的问题：

• sql拼接

	String sql = "insert into t_employee(ename,tel,gender,salary) values('" + ename + "','" + tel + "','" + gender + "'," + salary +")";
		Statement st = conn.createStatement();
		int len = st.executeUpdate(sql);

• sql注入

	String sql = "SELECT * FROM t_employee where ename='" + ename + "'";
		//如果我此时从键盘输入ename值的时候，输入：张三' or '1'= '1
		//结果会把所有数据都查询出来
		Statement st = conn.createStatement();
		ResultSet rs = st.executeQuery(sql);

• 无法处理blob等类型的数据

String sql = "insert into user(username,photo) values('chailinyan', 图片字节流)";
//此时photo是blob类型的数据时，无法在sql中直接拼接

2、PreparedStatement解决问题

• 避免sql拼接

		String sql = "insert into t_employee(ename,tel,gender,salary) values(?,?,?,?)";
		PreparedStatement pst = conn.prepareStatement(sql);//这里要传带？的sql，然后mysql端就会对这个sql进行预编译
		
		//根据字段来设置？的具体值
		/*pst.setString(1, ename);
		pst.setString(2, tel);
		pst.setString(3, gender);
		pst.setDouble(4, salary);*/
		
		pst.setObject(1, ename);
		pst.setObject(2, tel);
		pst.setObject(3, gender);
		pst.setObject(4, salary);
		
		int len = pst.executeUpdate();//此处不能传sql
		System.out.println(len);

• 不会有sql注入

String sql = "SELECT * FROM t_employee where ename=?";
		//即使输入'张三' or '1'= '1'也没问题
		PreparedStatement pst = conn.prepareStatement(sql);
		//中间加入设置？的值
		pst.setObject(1, ename);
		ResultSet rs = pst.executeQuery();

• 处理blob类型的数据

		String sql = "insert into user(username,photo) values(?,?)";
		PreparedStatement pst = conn.prepareStatement(sql);
		
		//设置？的值
		pst.setObject(1, "xiaoyu");
		FileInputStream fis = new FileInputStream("D:/QMDownload/img/15.jpg");
		pst.setBlob(2, fis);
		int len = pst.executeUpdate();
		System.out.println(len>0?"成功":"失败");

注意两个问题：

①my.ini关于上传的字节流文件有大小限制，可以在my.ini中配置变量

​	max_allowed_packet=16M

②每一种blob有各自大小限制：

tinyblob:255字节、blob:65k、mediumblob:16M、longblob:4G