- JDBC全称是什么?
- JDBC(Java DataBase Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序,同时,JDBC也是个商标名。
- 请详细说明JDBC技术主要用于处理什么问题,有什么好处?
- 简单地说,JDBC 可做三件事:与数据库建立连接、发送 操作数据库的语句并处理结果。
- JDBC 是个"低级"接口,也就是说,它用于直接调用 SQL 命令。在这方面它的功能极佳,并比其它的数据库连接 API 易于使用,但它同时也被设计为一种基础接口,在它之上可以建立高级接口和工具。高级接口是"对用户友好的"接口,它使用的是一种更易理解和更为方便的 API,这种API在幕后被转换为诸如 JDBC 这样的低级接口。
- Class.forName("Oracle.jdbc.driver.OracleDriver"); 的作用是什么,并简述其底
层原理-
Class.forName()的作用是返回一个带有给定字符的类或接口相关联的Class对象、加载这个类、同时执行该类的静态代码块。
使用new同样可以达到加载数据库驱动的目的,而使用类加载机制是为了提高代码的可重用性。
软件开发的业务类通常面向接口BusinessInterface编程。各项目根据业务不同实现不同的接口实现类,接口实现类被配置在XML文件中。这样开发了新的接口实现类,只需要修改配置文件,而无需更改代码,实现了代码的可重用性。JDBC规范要求Driver类在使用前必须向DriverManger注册自己。注册过程在Driver类的静态类已经实现。也就是说只要类被加载,就完成了向驱动管理器的注册。
---------------------
原文:https://blog.csdn.net/huscker/article/details/53080489
-
- JDBC中执行DML语句时,一般使用哪个方法较好:execute、executeQuery,
executeUpdate。并说出这几个方法的区别。- JDBC中Statement 接口提供了三种执行 SQL 语句的方法:
executeQuery
executeUpdate
execute使用哪一个方法由 SQL 语句所产生的内容决定。
1>方法executeQuery
用于产生单个结果集(ResultSet)的语句,例如:被执行最多的SELECT 语句。
这个方法被用来执行 SELECT 语句,但也只能执行查询语句,执行后返回代表查询结果的ResultSet对象。例如:2>方法executeUpdate
用于执行 INSERT、UPDATE 或 DELETE 语句以及 SQL DDL(数据定义语言)语句,例如 CREATE TABLE 和 DROP TABLE。
INSERT、UPDATE 或 DELETE 语句的效果是修改表中零行或多行中的一列或多列。
executeUpdate 的返回值是一个整数(int),指示受影响的行数(即更新计数)。
对于 CREATE TABLE 或 DROP TABLE 等不操作行的语句,executeUpdate 的返回值总为零。例如:3>方法execute:
可用于执行任何SQL语句,返回一个boolean值,表明执行该SQL语句是否返回了ResultSet。
如果执行后第一个结果是ResultSet,则返回true,否则返回false。
但它执行SQL语句时比较麻烦,通常我们没有必要使用execute方法来执行SQL语句,而是使用executeQuery或executeUpdate更适合。
但如果在不清楚SQL语句的类型时则只能使用execute方法来执行该SQL语句了。例如:
- JDBC中Statement 接口提供了三种执行 SQL 语句的方法:
- JDBC中执行DML语句时有三种方法,请说明是哪三种方法并简述三种方法的适
用场景 - 解释下面三个方法返回值的含义:
execute、executeQuery,executeUpdate
- 【上机】用文字说明ResultSet处理的典型代码各行的作用:
| while(rs.next()){ String ename = rs.getString(1); int empno = rs.getInt("empno"); } |
请解释,getString(1)的含义。 getInt("empno")的含义。
- 详述JDBC编程的4大步骤?
- 大对象的作用。
- 请简述数据库中大对象的类型及作用,并说明JDBC访问大对象的流程
- 【上机】SQL注入攻击是怎么回事?用代码说明。
- 毫无疑问,所有的用户登录SQL语句都形如:SELECT * FROM user WHERE name = ' " + userName + " ' and password= ' "+ password +" ';
常见的利用SQL注入攻破用户登录,关键在于在参数 "name" 或是 "password" 中插入特殊符号,以篡改程序SQL的条件判断。
譬如我们这样输入:
用户名:1' OR '1'='1
密码:1
那么程序接收到参数后,SQL语句就变成了:SELECT * FROM user WHERE name = '1' OR '1'='1 ' and password= '1';
恒为真,即可骗过程序,在没有账号密码的情况下成功登录。
我们也可以这样输入:
用户名:1
密码:1' OR '1'='1
那么程序接收到参数后,SQL语句就变成了:SELECT * FROM user WHERE name = '1' and password= '1' OR '1'='1 ';
同样恒为真,也可成功登录。
若是恶意攻击数据库,可以随意删除数据库信息,甚至连数据库都可以给你删掉,对项目造成毁灭性的打击,譬如:
用户名:1'; DROP DATABASE root;--
密码:1
那么程序接收到参数后,SQL语句就变成了:SELECT * FROM user WHERE name = '1'; DROP DATABASE root;--and password= '1';
由于分号;是SQL语句结束的标志,它会导致"SELECT * FROM user WHERE name = '1';" 后面的语句成为一条新的SQL语句,而--是SQL语句的单行注释标志,它会注释掉"and password= '1';"这一段,使整个SQL语句变的合法。然后 "DROP DATABASE root;"这一句直接把整个root数据库都删掉了。
这是被SQL注入攻击最严重的后果。
- 毫无疑问,所有的用户登录SQL语句都形如:SELECT * FROM user WHERE name = ' " + userName + " ' and password= ' "+ password +" ';
- 【上机】完成对Oracle数据库的查询操作,将emp表中所有的数据列出。
- select * from emp;
- 【上机】完成对Oracle数据库的删除操作,将sal小于1500的记录删除。
- 【上机】PreparedStatement(预编译SQL语句)有什么优势?
- 1、执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象中,其后可以使用该对象高效地多次执行该语句。
2、代码可读性:Statement 中 SQL 语句中需要 Java 中的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看,而且会被单引号、双引号搞疯掉;而 PreparedStatement,则不需要这样,参数可以采用“?”占位符代替,接下来再进行参数的填充,这样利于代码的可读性,并且符合面向对象的思想。
3、安全性:Statement 由于可能需要采取字符串与变量的拼接,很容易进行 SQL 注入攻击,而 PreparedStatement 由于是预 编译,再填充参数的,不存在 SQL 注入问题。
- 1、执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象中,其后可以使用该对象高效地多次执行该语句。
- 【上机】完成老师课堂上测试PreparedStatement代码
- 【上机】JDBC中,事务是如何管理的?使用代码说明。
- 【上机】通过资源文件的方式,将相关数据库信息放入资源文件中。使用代码说明。
- 【上机】JDBC的批处理如何完成,写出课堂代码。
- 【上机】JDBC控制访问存储过程。
- 【项目】员工管理系统
JDBC中Statement 接口提供了三种执行 SQL 语句的方法:
executeQuery
executeUpdate
execute