JDBC连接mySQL操作初级

JDBC操作基本步骤：

1. 注册驱动.

         在注册驱动之前首先要进行jar包下载，下载地址为https://dev.mysql.com/downloads/connector/j/将jar包导入项          目，

         代码：Class.forName("com.mysql.jdbc.Driver");
         JDBC规范定义驱动接口：java.sql.Driver，MySql驱动包提供了实现类：com.mysql.jdbc.Driver
         DriverManager工具类，提供注册驱动的方法 registerDriver()，方法的参数是java.sql.Driver，所以我们可以通         过如下语句进行注册:
              DriverManager.registerDriver(new com.mysql.jdbc.Driver());
         以上代码不推荐使用，存在两方面不足
           1. 硬编码，后期不易于程序扩展和维护
           2. 驱动被注册两次。
             通常开发我们使用Class.forName() 加载一个使用字符串描述的驱动类。
         如果使用Class.forName()将类加载到内存，该类的静态代码将自动执行。
         通过查询com.mysql.jdbc.Driver源码，我们发现Driver类“主动”将自己进行注册

public class Driver extends NonRegisteringDriver implements java.sql.Driver {static {try {java.sql.DriverManager.registerDriver(new Driver());} catch (SQLException E) {throw new RuntimeException("Can't register driver!");}}……}

2. 获得连接.

      代码：

 Connection con = DriverManager.getConnection(“jdbc:mysql://localhost:3306/mydb”,”root”,”root”);

     获取连接需要方法 DriverManager.getConnection(url,username,password)，三个参数分别表示，

             url 需要连接数据库的位置（网址） user用户名  password 密码
            url比较复杂，下面是mysql的 url： jdbc:mysql://localhost:3306/mydb
           JDBC规定url的格式由三部分组成，每个部分中间使用冒号分隔。
             第一部分是jdbc，这是固定的；
             第二部分是数据库名称，那么连接mysql数据库，第二部分当然是mysql了；
             第三部分是由数据库厂商规定的，我们需要了解每个数据库厂商的要求，mysql的第三部分分别由数据库服       务器的IP地址（localhost）、端口号（3306），以及DATABASE名称(mydb)组成。

3. 获得语句执行平台

         String sql = "某SQL语句";
        获取Statement语句执行平台：Statement stmt = con.createStatement();
常用方法：
         int executeUpdate(String sql); --执行insert update delete语句.
         ResultSet executeQuery(String sql); --执行select语句.
         boolean execute(String sql); --执行select返回true 执行其他的语句返回false.

4. 执行sql语句

             例如：

int up= statement.executeUpdate("INSERT INTO dota(uname,utype,uword) VALUE ('盖子',1,'浩源');");

5. 处理结果

       

        ResultSet resultSet1=statement.executeQuery(sql1);        System.out.println(resultSet1.next());        while (resultSet1.next()){            System.out.println("uname"+resultSet1.getString("uname")+"utype"+resultSet1.getInt("utype")                       +"uword"+resultSet1.getString("uword"));        }

             ResultSet实际上就是一张二维的表格，我们可以调用其boolean next()方法指向某行记录，当第一次调用next()      方法时，便指向第一行记录的位置，这时就可以使用ResultSet提供的getXXX(int col)方法(与索引从0开始不同个，      列从1开始)来获取指定列的数据：
       rs.next();//指向第一行
       rs.getInt(1);//获取第一行第一列的数据
    常用方法：
       Object getObject(int index) / Object getObject(String name) 获得任意对象
       String getString(int index) / Object getObject(String name) 获得字符串
       int getInt(int index) / Object getObject(String name) 获得整形
       double getDouble(int index) / Object getObject(String name) 获得双精度浮点型

6. 释放资源.

     与IO流一样，使用后的东西都需要关闭！关闭的顺序是先得到的后关闭，后得到的先关闭。
     rs.close();
     stmt.close();
     con.close();

JDBC中的SQL注入攻击：

   实例代码如下

import com.mysql.jdbc.Connection;import com.mysql.jdbc.Driver;import java.sql.DriverManager;import java.sql.ResultSet;import java.sql.SQLException;import java.sql.Statement;import java.util.Scanner;/** * Created by Administrator on 2017/6/14. */public class JDBCDemo {    public static void main(String [] strings) throws ClassNotFoundException, SQLException {        //注册数据库驱动，通过反射技术//        DriverManager.registerDriver(new Driver());        Class.forName("com.mysql.jdbc.Driver");        //获得数据库连接        String sql="jdbc:mysql://localhost:3306/users";        String user="root",password="root";        java.sql.Connection connection=DriverManager.getConnection(sql,user,password);        System.out.println(connection);        //获得sql语句执行者平台        Statement statement=connection.createStatement();        /**         * 数据库添加         */       // int up= statement.executeUpdate("INSERT INTO dota(uname,utype,uword) VALUE ('盖',1,'浩源');");        //System.out.println(up);        /**         * 数据库查询         */       // ResultSet resultSet=statement.executeQuery("SELECT * FROM dota");        //数据库注入攻击示例        Scanner scanner=new Scanner(System.in);        //使用输入类型数据为 z' or '1=1就构成了注入攻击类型学数据        String u1=scanner.nextLine();        String w1=scanner.nextLine();        String sql1= "SELECT * FROM dota WHERE uname='"+u1+"' AND uword='"+w1+"'";        //注入攻击类型        //ResultSet resultSet1=statement.executeQuery("SELECT * FROM dota WHERE uname='1' AND uword='2'OR 1=1");        ResultSet resultSet1=statement.executeQuery(sql1);        System.out.println(resultSet1.next());        while (resultSet1.next()){            System.out.println("uname"+resultSet1.getString("uname")+"utype"+resultSet1.getInt("utype")                       +"uword"+resultSet1.getString("uword"));        }        //关闭资源        statement.close();        connection.close();    }}

当在输入用户名后在输入uword值输入 z' or '1=1 可能会造成在数据库不存在此条数据的时候也获得true的结果集合