持续创作,加速成长!这是我参与「掘金日新计划 · 10 月更文挑战」的第12天,点击查看活动详情
DriverManager
DriverManager是一个工具类,这个工具类里面有很多静态方法
接下来我们来看看它的作用。
- 注册驱动
- 获取数据库连接
提到作用我们不得不提JDBC的设计思想: 根据API编写的程序(==面向jdbc编写的程序==)都可以与驱动管理器进行通信,而驱动管理器则通过驱动程序与实际的数据库进行通信。
注册驱动
registerDriver方法是用于注册驱动的,但是我们之前并不是这样写的。而是如下实现
Class.forName("com.mysql.jdbc.Driver");
我们查询MySQL提供的Driver类,看它是如何实现的,源码如下:
在该类中的静态代码块中已经执行了 DriverManager 对象的 registerDriver() 方法进行驱动的注册了,那么我们只需要加载 Driver 类,该静态代码块就会执行。而 Class.forName("com.mysql.jdbc.Driver"); 就可以加载 Driver 类。
==提示:==
- MySQL 5之后的驱动包,可以省略注册驱动的步骤
- 自动加载jar包中META-INF/services/java.sql.Driver文件中的驱动类
tips:静态代码块什么时候执行? ①调用类静态变量会执行静态代码块 ②调用静态方法时静态代码块会执行(多次调用,静态代码块只会执行一次) ③创建对象时,静态代码块会执行
获取数据库连接
注意:
- jdbc:mysql://是一种协议,一种固定的写法
- 因为ip地址或者域名都可以,所以实例中的jdbc:mysql://127.0.0.1:3306/db1也可以写为jdbc:mysql://localhost:3306/db1
Connection
Connection(数据库连接对象)作用:
- 获取执行 SQL 的对象
- 管理事务
获取执行 SQL 的对象
-
普通执行SQL对象
Statement createStatement() -
预编译SQL的执行SQL对象:防止SQL注入
PreparedStatement prepareStatement(sql) -
执行存储过程的对象
CallableStatement prepareCall(sql)通过这种方式获取的
CallableStatement执行对象是用来执行存储过程的,而存储过程在MySQL中不常用。
事务管理
例如:
/**
* JDBC API 详解:Connection
*/
public class JDBCDemo3_Connection {
public static void main(String[] args) throws Exception {
//1. 注册驱动
//Class.forName("com.mysql.jdbc.Driver");
//2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
String url = "jdbc:mysql:///db1?useSSL=false";
String username = "root";
String password = "1234";
Connection conn = DriverManager.getConnection(url, username, password);
//3. 定义sql
String sql1 = "update account set money = 3000 where id = 1";
String sql2 = "update account set money = 3000 where id = 2";
//4. 获取执行sql的对象 Statement
Statement stmt = conn.createStatement();
try {
// 开启事务
conn.setAutoCommit(false);
//5. 执行sql
int count1 = stmt.executeUpdate(sql1);//受影响的行数
//6. 处理结果
System.out.println(count1);
int i = 3/0;
//5. 执行sql
int count2 = stmt.executeUpdate(sql2);//受影响的行数
//6. 处理结果
System.out.println(count2);
// 提交事务
conn.commit();
} catch (Exception throwables) {
// 回滚事务
conn.rollback();
throwables.printStackTrace();
}
//7. 释放资源
stmt.close();
conn.close();
}
}
Statement
Statement的唯一作用就是执行SQL语句。
执行SQL语句
开发很少使用java代码操作DDL语句
ResultSet
ResultSet(结果集对象)作用:
- ==封装了SQL查询语句的结果。==
而执行了DQL语句后就会返回该对象,对应执行DQL语句的方法如下:
ResultSet executeQuery(sql):执行DQL 语句,返回 ResultSet 对象
那么我们就需要从 ResultSet 对象中获取我们想要的数据。ResultSet 对象提供了操作查询结果数据的方法,如下:
boolean next()
- 将光标从当前位置向前移动一行
- 判断当前行是否为有效行
方法返回值说明:
- true : 有效航,当前行有数据
- false : 无效行,当前行没有数据
xxx getXxx(参数):获取数据
- xxx : 数据类型;如: int getInt(参数) ;String getString(参数)
- 参数(两种选一个用)
- int类型的参数:列的编号,从1开始
- String类型的参数: 列的名称
如下图为执行SQL语句后的结果
一开始光标指定于第一行前,如图所示红色箭头指向于表头行。当我们调用了 next() 方法后,光标就下移到第一行数据,并且方法返回true,此时就可以通过 getInt("id") 获取当前行id字段的值,也可以通过 getString("name") 获取当前行name字段的值。如果想获取下一行的数据,继续调用 next() 方法,以此类推。
例如:我们获取下表的id,姓名,地址列
代码实现:
public class ReadJDBC {
public static void main(String[] args) throws Exception {
String url = "jdbc:mysql://localhost:3306/sql1?useSSL=false";
String username = "root";
String password = "********";
Connection connection = DriverManager.getConnection(url,username,password);
String sql = "select * from stu";
Statement statement = connection.createStatement();
ResultSet resultSet = statement.executeQuery(sql);
while (resultSet.next()) {
System.out.print(resultSet.getInt(1));
System.out.print(" " + resultSet.getString(2));
System.out.println(" " + resultSet.getString(5));
}
//释放资源
resultSet.close();
statement.close();
connection.close();
}
}
注意这里要多关闭一个资源,也就是返回的ResultSet的对象
案例
我们现在有一个需求:将每个人的数据封装在Account对象中,并且储存到ArrayList集合中。 代码实现:
public class ReadJDBC {
public static void main(String[] args) throws Exception {
String url = "jdbc:mysql://localhost:3306/sql1?useSSL=false";
String username = "root";
String password = "***********";
Connection connection = DriverManager.getConnection(url,username,password);
String sql = "select * from stu";
Statement statement = connection.createStatement();
ResultSet resultSet = statement.executeQuery(sql);
// while (resultSet.next()) {
// System.out.print(resultSet.getInt(1));
// System.out.print(" " + resultSet.getString(2));
// System.out.println(" " + resultSet.getString(5));
// }
ArrayList<Account> accounts = new ArrayList<>();
while (resultSet.next()) {
Account account = new Account();
account.setName(resultSet.getString(2));
account.setAge(resultSet.getInt(3));
account.setAddress(resultSet.getString(5));
accounts.add(account);
}
//遍历这个列表
for (Account account : accounts) {
System.out.print(account.getName());
System.out.print(account.getAge());
System.out.println(account.getAddress());
}
//释放资源
resultSet.close();
statement.close();
connection.close();
}
}
class Account{
private String name;
private int age;
private String address;
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public int getAge() {
return age;
}
public void setAge(int age) {
this.age = age;
}
public String getAddress() {
return address;
}
public void setAddress(String address) {
this.address = address;
}
}
PreparedStatement
作用:预编译SQL语句并执行:预防SQL注入问题
首先我们要知道什么是SQL注入?
代码模拟SQL注入问题
@Test
public void testLogin() throws Exception {
//2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
String url = "jdbc:mysql:///db1?useSSL=false";
String username = "root";
String password = "1234";
Connection conn = DriverManager.getConnection(url, username, password);
// 接收用户输入 用户名和密码
String name = "sjdljfld";
String pwd = "' or '1' = '1";
String sql = "select * from tb_user where username = '"+name+"' and password = '"+pwd+"'";
// 获取stmt对象
Statement stmt = conn.createStatement();
// 执行sql
ResultSet rs = stmt.executeQuery(sql);
// 判断登录是否成功
if(rs.next()){
System.out.println("登录成功~");
}else{
System.out.println("登录失败~");
}
//7. 释放资源
rs.close();
stmt.close();
conn.close();
}
上面代码是将用户名和密码拼接到sql语句中,拼接后的sql语句如下
select * from tb_user where username = 'sjdljfld' and password = ''or '1' = '1'
从上面语句可以看出条件 username = 'sjdljfld' and password = '' 不管是否满足,而 or 后面的 '1' = '1' 是始终满足的,最终条件是成立的,就可以正常的进行登陆了。
PreparedStatement用法
我们将上面的代码用PreparedStatement进行改进:
@Test
public void testPreparedStatement() throws Exception {
//2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
String url = "jdbc:mysql:///db1?useSSL=false";
String username = "root";
String password = "***********";
Connection conn = DriverManager.getConnection(url, username, password);
// 接收用户输入 用户名和密码
String name = "zhangsan";
String pwd = "' or '1' = '1";
// 定义sql
String sql = "select * from tb_user where username = ? and password = ?";
// 获取pstmt对象
PreparedStatement pstmt = conn.prepareStatement(sql);
// 设置?的值
pstmt.setString(1,name);
pstmt.setString(2,pwd);
// 执行sql
ResultSet rs = pstmt.executeQuery();
// 判断登录是否成功
if(rs.next()){
System.out.println("登录成功~");
}else{
System.out.println("登录失败~");
}
//7. 释放资源
rs.close();
pstmt.close();
conn.close();
}
那么PreparedStatement又是如何解决的呢?它是将特殊字符进行了转义,转义的SQL如下:
select * from tb_user where username = 'sjdljfld' and password = '\'or \'1\' = \'1'
原理
PreparedStatement 好处:
- 预编译SQL,性能更高
- 防止SQL注入:==将敏感字符进行转义==
Java代码操作数据库流程如图所示:
-
将sql语句发送到MySQL服务器端
-
MySQL服务端会对sql语句进行如下操作
-
① 检查SQL语句
检查SQL语句的语法是否正确。
-
②编译SQL语句。将SQL语句编译成可执行的函数。
检查SQL和编译SQL花费的时间比执行SQL的时间还要长。==如果我们只是重新设置参数,那么检查SQL语句和编译SQL语句将不需要重复执行==。这样就提高了性能。
-
③执行SQL语句
-
