JavaEE--JDBC的前生今世

个人觉得学习JavaEE的第一步就是学习JDBC，Jdbc不仅是java基础的内容而且贯穿整个web开发。所以我们重新回顾一下以前学过的基础。

1 什么是JDBC

  JDBC（Java DataBase Connectivity）就是Java数据库连接，说白了就是用Java语言来操作数据库。原来我们操作数据库是在控制台使用SQL语句来操作数据库，JDBC是用Java语言向数据库发送SQL语句。

2 JDBC原理

早期SUN公司的天才们想编写一套可以连接天下所有数据库的API，但是当他们刚刚开始时就发现这是不可完成的任务，因为各个厂商的数据库服务器差异太大了。后来SUN开始与数据库厂商们讨论，最终得出的结论是，由SUN提供一套访问数据库的规范（就是一组接口），并提供连接数据库的协议标准，然后各个数据库厂商会遵循SUN的规范提供一套访问自己公司的数据库服务器的API出现。SUN提供的规范命名为JDBC，而各个厂商提供的，遵循了JDBC规范的，可以访问自己数据库的API被称之为驱动！

JDBC是接口，而JDBC驱动才是接口的实现，没有驱动无法完成数据库连接！每个数据库厂商都有自己的驱动，用来连接自己公司的数据库。

当然还有第三方公司专门为某一数据库提供驱动，这样的驱动往往不是开源免费的！

3 JDBC核心类（接口）介绍

JDBC中的核心类有：DriverManager、Connection、Statement，和ResultSet！

DriverManger（驱动管理器）的作用有两个：

1. 注册驱动：这可以让JDBC知道要使用的是哪个驱动；
2. 获取Connection：如果可以获取到Connection，那么说明已经与数据库连接上了。

Connection对象表示连接，与数据库的通讯都是通过这个对象展开的：

扫描二维码关注公众号，回复： 2904214 查看本文章

1. Connection最为重要的一个方法就是用来获取Statement对象；
2. Statement是用来向数据库发送SQL语句的，这样数据库就会执行发送过来的SQL语句
3. void executeUpdate(String sql)：执行更新操作（insert、update、delete等）；
4. ResultSet executeQuery(String sql)：执行查询操作，数据库在执行查询后会把查询结果，查询结果就是ResultSet；

ResultSet对象表示查询结果集，只有在执行查询操作后才会有结果集的产生。结果集是一个二维的表格，有行有列。操作结果集要学习移动ResultSet内部的“行光标”，以及获取当前行上的每一列上的数据：

1. boolean next()：使“行光标”移动到下一行，并返回移动后的行是否存在；
2. XXX getXXX(int col)：获取当前行指定列上的值，参数就是列数，列数从1开始，而不是0。

4 Hello JDBC

下面开始编写第一个JDBC程序，我会讲的详细一点。

1.新建一个java工程，新建lib文件夹，导包mysql-connector-java-5.1.39-bin.jar；。

2. 建包开始我们的第一个Demo

package Jdbc.Hello;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import org.junit.Test;

public class QueryAll {
	/**
	 * 测试查询所有用户
	 */
	@Test
	public void testQueryAll() {
		Connection conn = null;
		Statement statement = null;
		ResultSet rs = null;
		try {
			// 1.注册驱动
			Class.forName("com.mysql.jdbc.Driver");
			// 2.获取连接
			String url = "jdbc:mysql://localhost/test?useUnicode=true&characterEncoding=utf8";
			String username = "root";
			String password = "123456";
			conn = DriverManager.getConnection(url, username, password);
			// 3.获取执行sql语句的对象
			statement = conn.createStatement();
			// 4.编写sql语句
			String sql = "select * from tbl_user";
			// 5.执行sql语句
			rs = statement.executeQuery(sql);
			// 6.处理结果
			while (rs.next()) {
				System.out.println("用户名：" + rs.getString(2) + " 密码：" + rs.getString("password"));
			}
		} catch (Exception e) {
			e.printStackTrace();
		} finally {
			// 关闭连接，后得到的先关闭
			if (rs != null) {
				try {
					rs.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
			if (statement != null) {
				try {
					statement.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
			if (conn != null) {
				try {
					conn.close();
				} catch (SQLException e) {
					// TODO Auto-generated catch block
					e.printStackTrace();
				}
			}
		}

	}

}

结果： 

 用户名：tom 密码：1234
用户名：loses 密码：234
用户名：jack 密码：4561

4.JDBC对象介绍

 

1 JDBC中的主要类（接口）

在JDBC中常用的类有：

1. DriverManager；
2. Connection；
3. Statement；
4. ResultSet。

 

2 DriverManager

其实我们今后只需要会用DriverManager的getConnection()方法即可：

1. Class.forName(“com.mysql.jdbc.Driver”);//注册驱动
2. String url = “jdbc:mysql://localhost:3306/web08”;
3. String username = “root”;
4. String password = “root”;
5. Connection con = DriverManager.getConnection(url, username, password);

 

注意，上面代码可能出现的两种异常：

1. ClassNotFoundException：这个异常是在第1句上出现的，出现这个异常有两个可能：

1. 你没有给出mysql的jar包；
2. 你把类名称打错了，查看类名是不是com.mysql.jdbc.Driver。

 

1. SQLException：这个异常出现在第5句，出现这个异常就是三个参数的问题，往往username和password一般不是出错，所以需要认真查看url是否打错。

 

对于DriverManager.registerDriver()方法了解即可，因为我们今后注册驱动只会Class.forName()，而不会使用这个方法。

3 Connection

Connection最为重要的方法就是获取Statement：

1. Statement stmt = con.createStatement();

 

后面在学习ResultSet方法时，还要学习一下下面的方法：

1. Statement stmt = con.createStatement(int,int);

 

4 Statement

Statement最为重要的方法是：

1. int executeUpdate(String sql)：执行更新操作，即执行insert、update、delete语句，其实这个方法也可以执行create table、alter table，以及drop table等语句，但我们很少会使用JDBC来执行这些语句；
2. ResultSet executeQuery(String sql)：执行查询操作，执行查询操作会返回ResultSet，即结果集。

 

1.   boolean execute()

Statement还有一个boolean execute()方法，这个方法可以用来执行增、删、改、查所有SQL语句。该方法返回的是boolean类型，表示SQL语句是否执行成功。

如果使用execute()方法执行的是更新语句，那么还要调用int getUpdateCount()来获取insert、update、delete语句所影响的行数。

如果使用execute()方法执行的是查询语句，那么还要调用ResultSet getResultSet()来获取select语句的查询结果。

 

5 ResultSet之滚动结果集（了解）

ResultSet表示结果集，它是一个二维的表格！ResultSet内部维护一个行光标（游标），ResultSet提供了一系列的方法来移动游标：

1. void beforeFirst()：把光标放到第一行的前面，这也是光标默认的位置；
2. void afterLast()：把光标放到最后一行的后面；
3. boolean first()：把光标放到第一行的位置上，返回值表示调控光标是否成功；
4. boolean last()：把光标放到最后一行的位置上；
5. boolean isBeforeFirst()：当前光标位置是否在第一行前面；
6. boolean isAfterLast()：当前光标位置是否在最后一行的后面；
7. boolean isFirst()：当前光标位置是否在第一行上；
8. boolean isLast()：当前光标位置是否在最后一行上；
9. boolean previous()：把光标向上挪一行；
10. boolean next()：把光标向下挪一行；
11. boolean relative(int row)：相对位移，当row为正数时，表示向下移动row行，为负数时表示向上移动row行；
12. boolean absolute(int row)：绝对位移，把光标移动到指定的行上；
13. int getRow()：返回当前光标所有行。

 

上面方法分为两类，一类用来判断游标位置的，另一类是用来移动游标的。如果结果集是不可滚动的，那么只能使用next()方法来移动游标，而beforeFirst()、afterLast()、first()、last()、previous()、relative()方法都不能使用！！！

结果集是否支持滚动，要从Connection类的createStatement()方法说起。也就是说创建的Statement决定了使用Statement创建的ResultSet是否支持滚动。

Statement createStatement(int resultSetType, int resultSetConcurrency)

resultSetType的可选值：

1. ResultSet.TYPE_FORWARD_ONLY：不滚动结果集；
2. ResultSet.TYPE_SCROLL_INSENSITIVE：滚动结果集，但结果集数据不会再跟随数据库而变化；
3. ResultSet.TYPE_SCROLL_SENSITIVE：滚动结果集，但结果集数据不会再跟随数据库而变化；

 

可以看出，如果想使用滚动的结果集，我们应该选择TYPE_SCROLL_INSENSITIVE！其实很少有数据库驱动会支持TYPE_SCROLL_SENSITIVE的特性！通常我们也不需要查询到的结果集再受到数据库变化的影响。

 

resultSetConcurrency的可选值：

1. CONCUR_READ_ONLY：结果集是只读的，不能通过修改结果集而反向影响数据库；
2. CONCUR_UPDATABLE：结果集是可更新的，对结果集的更新可以反向影响数据库。

 

通常可更新结果集这一“高级特性”我们也是不需要的！

 

获取滚动结果集的代码如下：

Connection con = …

Statement stmt = con.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE, CONCUR_READ_ONLY);

String sql = …//查询语句

ResultSet rs = stmt.executeQuery(sql);//这个结果集是可滚动的

 

6 ResultSet之获取列数据

可以通过next()方法使ResultSet的游标向下移动，当游标移动到你需要的行时，就需要来获取该行的数据了，ResultSet提供了一系列的获取列数据的方法：

1. String getString(int columnIndex)：获取指定列的String类型数据；
2. int getInt(int columnIndex)：获取指定列的int类型数据；
3. double getDouble(int columnIndex)：获取指定列的double类型数据；
4. boolean getBoolean(int columnIndex)：获取指定列的boolean类型数据；
5. Object getObject(int columnIndex)：获取指定列的Object类型的数据。

 

上面方法中，参数columnIndex表示列的索引，列索引从1开始，而不是0，这第一点与数组不同。如果你清楚当前列的数据类型，那么可以使用getInt()之类的方法来获取，如果你不清楚列的类型，那么你应该使用getObject()方法来获取。

ResultSet还提供了一套通过列名称来获取列数据的方法：

1. String getString(String columnName)：获取名称为columnName的列的String数据；
2. int getInt(String columnName)：获取名称为columnName的列的int数据；
3. double getDouble(String columnName)：获取名称为columnName的列的double数据；
4. boolean getBoolean(String columnName)：获取名称为columnName的列的boolean数据；

Object getObject(String columnName)：获取名称为columnName的列的Object数据；

5.PreparedStatement

1 什么是SQL攻击

在需要用户输入的地方，用户输入的是SQL语句的片段，最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句！例如用户在登录时输入的用户名和密码都是为SQL语句的片段！

 

2 演示SQL攻击

首先我们需要创建一张用户表，用来存储用户的信息。

CREATE TABLE user(     uid CHAR(32) PRIMARY KEY,     username   VARCHAR(30) UNIQUE KEY NOT NULL,     PASSWORD   VARCHAR(30) );   INSERT INTO user VALUES('U_1001', 'zs', 'zs'); SELECT * FROM user;

现在用户表中只有一行记录，就是zs。

下面我们写一个login()方法！

public void login(String username, String password) {         Connection con = null;         Statement stmt = null;         ResultSet rs = null;         try {             con = JdbcUtils.getConnection();             stmt = con.createStatement();             String sql = "SELECT * FROM user WHERE " +                    "username='" + username +                    "' and password='" + password + "'";             rs = stmt.executeQuery(sql);             if(rs.next()) {                 System.out.println("欢迎" + rs.getString("username"));             } else {                 System.out.println("用户名或密码错误！");             }         } catch (Exception e) {             throw new RuntimeException(e);         } finally {             JdbcUtils.close(con, stmt, rs);         }           }

 

下面是调用这个方法的代码：

login("a' or 'a'='a", "a' or 'a'='a");

 

这行当前会使我们登录成功！因为是输入的用户名和密码是SQL语句片段，最终与我们的login()方法中的SQL语句组合在一起！我们来看看组合在一起的SQL语句：

SELECT * FROM tab_user WHERE username='a' or 'a'='a' and password='a' or 'a'='a'

 

3 防止SQL攻击

1. 过滤用户输入的数据中是否包含非法字符；
2. 分步校验！先使用用户名来查询用户，如果查找到了，再比较密码；
3. 使用PreparedStatement。

4. 4 PreparedStatement是什么？

   PreparedStatement叫预编译声明！

   PreparedStatement是Statement的子接口，你可以使用PreparedStatement来替换Statement。

   PreparedStatement的好处：

5. 防止SQL攻击；
6. 提高代码的可读性，以可维护性；
7. 提高效率。

8. 5 PreparedStatement的使用

9. 使用Connection的prepareStatement(String sql)：即创建它时就让它与一条SQL模板绑定；
10. 调用PreparedStatement的setXXX()系列方法为问号设置值
11. 调用executeUpdate()或executeQuery()方法，但要注意，调用没有参数的方法；

12.  

    String sql = “select * from tab_student where s_number=?”; PreparedStatement pstmt = con.prepareStatement(sql); pstmt.setString(1, “S_1001”); ResultSet rs = pstmt.executeQuery(); rs.close(); pstmt.clearParameters(); pstmt.setString(1, “S_1002”); rs = pstmt.executeQuery();

     

    在使用Connection创建PreparedStatement对象时需要给出一个SQL模板，所谓SQL模板就是有“?”的SQL语句，其中“?”就是参数。

    在得到PreparedStatement对象后，调用它的setXXX()方法为“?”赋值，这样就可以得到把模板变成一条完整的SQL语句，然后再调用PreparedStatement对象的executeQuery()方法获取ResultSet对象。

    注意PreparedStatement对象独有的executeQuery()方法是没有参数的，而Statement的executeQuery()是需要参数（SQL语句）的。因为在创建PreparedStatement对象时已经让它与一条SQL模板绑定在一起了，所以在调用它的executeQuery()和executeUpdate()方法时就不再需要参数了。

    PreparedStatement最大的好处就是在于重复使用同一模板，给予其不同的参数来重复的使用它。这才是真正提高效率的原因。