jdbc

JDBC全称为：Java Data Base Connectivity（java数据库连接），它主要由接口组成。由一些接口和类构成的API

组成JDBC的２个包：

　java.sql

　javax.sql

编程从表中读取数据，并打印在命令行窗口中。

一、搭建实验环境：

1、在mysql中创建一个库，并创建user表和插入表的数据。

2、新建一个Java工程，并导入数据驱动。

二、编写程序，在程序中加载数据库驱动

             Class.forName(“com.mysql.jdbc.Driver”);

DriverManager. registerDriver(Driver driver)        

三、建立连接(Connection)

Connection conn = DriverManager.getConnection(url,user,pass);

四、创建用于向数据库发送SQL的Statement对象，并发送sql

Statement st = conn.createStatement();

ResultSet rs = st.excuteQuery(sql);

五、从代表结果集的ResultSet中取出数据，打印到命令行窗口

六、断开与数据库的连接，并释放相关资源

lURL用于标识数据库的位置，程序员通过URL地址告诉JDBC程序连接哪个数据库，URL的写法为：

   jdbc:mysql:［］//localhost:3306/test ?参数名=参数值

程序详解—Connection

Connection conn = DriverManager.getConnection(url, user, password);

Jdbc程序中的Connection，它用于代表数据库的链接，Collection是数据库编程中最重要的一个对象，客户端与数据库所有交互都是通过connection对象完成的，这个对象的常用方法：

•createStatement()：创建向数据库发送sql的statement对象。

•prepareStatement(sql) ：创建向数据库发送预编译sql的PrepareSatement对象。

•prepareCall(sql)：创建执行存储过程的callableStatement对象。

•setAutoCommit(boolean autoCommit)：设置事务是否自动提交。

•commit() ：在链接上提交事务。

•rollback() ：在此链接上回滚事务。

  Statement st = conn.createStatement();

Jdbc程序中的Statement对象用于向数据库发送SQL语句， Statement对象常用方法：

•executeQuery(String sql) ：用于向数据发送查询语句。

•executeUpdate(String sql)：用于向数据库发送insert、update或delete语句

•execute(String sql)：用于向数据库发送任意sql语句

•addBatch(String sql) ：把多条sql语句放到一个批处理中。

•executeBatch()：向数据库发送一批sql语句执行。

程序详解—ResultSet

ResultSet rs = st.executeQuery(sql);

Jdbc程序中的ResultSet用于代表Sql语句的执行结果。Resultset封装执行结果时，采用的类似于表格的方式。ResultSet 对象维护了一个指向表格数据行的游标，初始的时候，游标在第一行之前，调用ResultSet.next() 方法，可以使游标指向具体的数据行，进行调用方法获取该行的数据。

ResultSet既然用于封装执行结果的，所以该对象提供的都是用于获取数据的get方法：

•获取任意类型的数据

   •getObject(int index)

   •getObject(string columnName)

•获取指定类型的数据，例如：

   •getString(int index)

   •getString(String columnName)

ResultSet还提供了对结果集进行滚动的方法：

•next()：移动到下一行

•Previous()：移动到前一行

•absolute(int row)：移动到指定行

•beforeFirst()：移动resultSet的最前面。

•afterLast() ：移动到resultSet的最后面。

程序详解—释放资源

Jdbc程序运行完后，切记要释放程序在运行过程中，创建的那些与数据库进行交互的对象，这些对象通常是ResultSet, Statement和Connection对象。

特别是Connection对象，它是非常稀有的资源，用完后必须马上释放，如果Connection不能及时、正确的关闭，极易导致系统宕机。Connection的使用原则是尽量晚创建，尽量早的释放。

为确保资源释放代码能运行，资源释放代码也一定要放在finally语句中。

使用JDBC对数据库进行CRUD

Jdbc中的statement对象用于向数据库发送SQL语句，想完成对数据库的增删改查，只需要通过这个对象向数据库发送增删改查语句即可。

Statement对象的executeUpdate方法，用于向数据库发送增、删、改的sql语句，executeUpdate执行完后，将会返回一个整数(即增删改语句导致了数据库几行数据发生了变化)。

Statement.executeQuery方法用于向数据库发送查询语句，executeQuery方法返回代表查询结果的ResultSet对象。

基本的CRUD（创建、读取、更新、删除）

模板代码

Connection conn = null;

Statement st=null;

ResultSet rs = null;

try {

//获得Connection

//创建Statement

//处理查询结果ResultSet

} finally {

//释放资源ResultSet, Statement,Connection

}

CRUD操作-create

使用executeUpdate(String sql)方法完成数据添加操作

Statement st = conn.createStatement();

String sql = "insert into user(….) values(…..) ";

int num = st.executeUpdate(sql);

if(num>0){

System.out.println("插入成功！！！");

}

CRUD操作-updata

使用executeUpdate(String sql)方法完成数据修改操作

Statement st = conn.createStatement();

String sql = “update user set name=‘’ where name=‘’";

int num = st.executeUpdate(sql);

if(num>0){

System.out.println(“修改成功！！！");

}

CRUD操作-delete

使用executeUpdate(String sql)方法完成数据删除操作

Statement st = conn.createStatement();

String sql = “delete from user where id=1;

int num = st.executeUpdate(sql);

if(num>0){

System.out.println(“删除成功！！！");

}

CRUD操作-read

使用executeQuery(String sql)方法完成数据查询操作

Statement st = conn.createStatement();

String sql = “select * from user where id=1;

ResultSet rs = st.executeQuery（sql);

while(rs.next()){

//根据获取列的数据类型，分别调用rs的相应方法

//映射到java对象中

}

CRUD总结

增、删、改用Statement.executeUpdate来完成，返回整数(匹配的记录数)，这类操作相对简单。

查询用Statement.executeQuery来完成，返回的是ResultSet对象，ResultSet中包含了查询的结果；查询相对与增、删、改要复杂一些，因为有查询结果要处理。

用户注册和登陆

用户注册和登陆案例

SQL 注入是用户利用某些系统没有对输入数据进行充分的检查，从而进行恶意破坏的行为。

1、statement存在sql注入攻击问题，例如登陆用户名采用' or 1=1 or username=‘

2、对于防范 SQL 注入，可以采用PreparedStatement取代Statement。

PreparedStatement

PreperedStatement是Statement的子类，它的实例对象可以通过调用Connection.preparedStatement()方法获得，相对于Statement对象而言：

•PreperedStatement可以避免SQL注入的问题。

•Statement会使数据库频繁编译SQL，可能造成数据库缓冲区溢出。PreparedStatement 可对SQL进行预编译，从而提高数据库的执行效率。

•并且PreperedStatement对于sql中的参数，允许使用占位符的形式进行替换，简化sql语句的编写。