JDBC、工具类DBUtils

撑续远
99 阅读5分钟

JDBC(Java Database Connectivity)

  1. 概念:

    • JDBC是Java程序与数据库之间的一种规范,即一套API。
    • 它允许Java程序通过JDBC驱动与特定数据库建立连接,并执行SQL语句进行交互。

  2. 核心步骤:

    1. 导入JDBC包:通常是数据库厂商提供的JAR文件。
    2. 注册JDBC驱动:加载数据库驱动类到JVM中。
    3. 建立连接:使用DriverManager.getConnection()建立与数据库的连接。
    4. 创建语句对象:通过连接对象创建StatementPreparedStatement对象。
    5. 执行SQL语句:使用语句对象执行SQL语句,可能会返回ResultSet或影响的行数。
    6. 处理结果:处理查询结果或确认更新结果。
    7. 关闭资源:关闭所有打开的资源,如ResultSetStatementConnection

  3. 异常处理:

    • JDBC代码通常涉及异常处理,特别是SQLException

  4. 事务管理:

    • JDBC支持事务管理,允许通过commitrollback方法控制事务。

DBUtils

  1. 概念:

    • DBUtils是Apache组织提供的一个小型JDBC工具库。
    • 它简化了JDBC的操作,不需要手动处理资源的开关和异常处理。

  2. 主要特点:

    • 简化CRUD:通过QueryRunner类简化增删改查操作。
    • 自动资源管理:自动管理数据库连接的打开和关闭。
    • 结果集处理:提供ResultSetHandler接口处理查询结果。

  3. 核心组件:

    1. QueryRunner:执行SQL语句的核心类。
    2. ResultSetHandler:处理查询结果,常用的实现包括BeanHandlerBeanListHandler等。
    3. DbUtils:提供静态方法,如closeQuietly(),用于安静地关闭连接和语句。

  4. 使用流程:

    1. 创建QueryRunner对象
    2. 执行SQL语句:可以是查询或更新。
    3. 结果处理:使用ResultSetHandler实现类处理查询结果。
    4. 异常处理:通常通过try-catch处理。

比较 JDBC 和 DBUtils

  • 复杂性:JDBC相对复杂,DBUtils提供了更简洁的API。
  • 控制:JDBC提供更细粒度的控制,而DBUtils抽象了很多细节。
  • 适用性:对于简单的数据库操作,DBUtils更方便;对于复杂的操作,JDBC可能更合适。

1. 插入自动增长的主键会报错吗?

在关系型数据库中,使用自动增长的主键(通常称为自增主键或自动增量主键)时,插入数据时不应该显式提供主键的值,因为数据库会自动为你生成一个唯一的主键值。如果尝试在插入数据时显式提供自动增长主键的值,通常会导致报错。插入数据时,应该省略自动增长主键列,数据库会自动为其分配一个唯一的值。

2. 不指定列名插入会报错吗,应遵循什么原则?

在插入数据时不指定列名,而直接提供数值,是否会报错取决于数据库表的结构以及提供的数值的数量和顺序是否与表的列对应。

以下是一些原则:

  1. 插入所有列的数据:

    • 如果提供的数值数量和顺序与表中的列相匹配,并且提供的数据能够满足表中所有列的要求,那么插入操作通常是合法的。
    • 示例:INSERT INTO example VALUES (1, 'John', 'Doe');

  2. 插入部分列的数据:

    • 如果省略了某些列,那么数据库系统将根据插入的数值的顺序或者默认值,为省略的列生成数据。

    • 示例:假设表 example 包含 id, first_name, last_name 三列,其中 id 是自增主键。

      • INSERT INTO example VALUES ('John', 'Doe');
      • 此时,数据库系统会自动生成一个唯一的 id 值。

  3. 注意列的顺序:

    • 如果不指定列名,应确保提供的数值按照表中列的顺序进行匹配。

    • 示例:INSERT INTO example VALUES ('John', 'Doe', 1);

      • 如果表的列顺序是 first_name, last_name, id,那么这个插入语句可能会导致数据不符合预期。

3. 如何防止数据库注入?

使用参数化查询(Prepared Statements):

  • 使用参数化的查询语句,通过占位符将用户输入的数据传递给数据库。这样可以防止用户输入被解释为SQL代码。

使用存储过程(Stored Procedures):

  • 存储过程是预先编译并存储在数据库中的 SQL 代码块。通过调用存储过程,可以防止直接将用户输入用于拼接 SQL 语句。
  • 存储过程通常需要数据库管理员创建,并且在应用程序中通过调用存储过程来执行数据库操作。

进行输入验证和过滤:

  • 对用户输入进行验证和过滤,确保只允许预期的数据类型和格式。例如,对于数字字段,确保输入是合法的数字。
  • 使用正则表达式或其他验证方法来限制用户输入。

最小化数据库权限:

  • 给予数据库用户最小化的权限,确保他们只能执行必要的数据库操作,而不是拥有过多的权限。避免使用具有数据库管理员权限的连接字符串。

使用ORM框架:

  • 使用对象关系映射(ORM)框架,如Hibernate、MyBatis等,它们通常能够提供更安全的数据库访问方式。

避免动态拼接 SQL 语句:

  • 避免直接在代码中拼接用户输入的数据到 SQL 语句中。如果必须拼接,确保对用户输入进行适当的转义。

监控和日志:

  • 监控数据库操作,定期审查数据库日志,检查是否有异常的查询或操作。及时发现异常操作可以帮助防范注入攻击。

使用防火墙和安全策略:

  • 配置数据库防火墙,限制数据库访问的来源IP地址。使用安全策略来拦截潜在的攻击。
avatar
文章
阅读
粉丝