JDBC
1.JDBC连接的连接步骤(Statement和PrepareStatement)
(1)注册驱动 (只做一次)
(2)建立连接(Connection)
(3)创建执行SQL的语句(Statement)
(4)执行语句
(5)处理执行结果(ResultSet)
(6)释放资源
(2)建立连接(Connection)
(3)创建执行SQL的语句(Statement)
(4)执行语句
(5)处理执行结果(ResultSet)
(6)释放资源
1.1注册驱动
(1)Class.forName(“com.mysql.jdbc.Driver”);
推荐这种方式,不会对具体的驱动类产生依赖。 (2)DriverManager.registerDriver(com.mysql.jdbc.Driver);
会造成DriverManager中产生两个一样的驱动,并会对具体的驱动类产生依赖。 (3)System.setProperty(“jdbc.drivers”, “driver1:driver2”);
虽然不会对具体的驱动类产生依赖;但注册不太方便,所以很少使用。
推荐这种方式,不会对具体的驱动类产生依赖。 (2)DriverManager.registerDriver(com.mysql.jdbc.Driver);
会造成DriverManager中产生两个一样的驱动,并会对具体的驱动类产生依赖。 (3)System.setProperty(“jdbc.drivers”, “driver1:driver2”);
虽然不会对具体的驱动类产生依赖;但注册不太方便,所以很少使用。
1.2 建立连接
Connection conn = DriverManager.getConnection(url, user, password);
(1)url格式:JDBC:子协议:子名称//主机名:端口/数据库名?属性名=属性值&…
(2)User,password可以用“属性名=属性值”方式告诉数据库;
(1)url格式:JDBC:子协议:子名称//主机名:端口/数据库名?属性名=属性值&…
(2)User,password可以用“属性名=属性值”方式告诉数据库;
1.3 创建执行SQL的语句
(1)Statement类的创建执行sql语句:
String sql = “select * from table_name where col_name=‘李四’”;
Statement st = conn.createStatement();
ResultSet rs =st.executeQuery(sql)
Statement st = conn.createStatement();
ResultSet rs =st.executeQuery(sql)
(2)PreparedStatement类的创建执行sql语句:
String sql = “select * from table_name where col_name=?”;
PreparedStatement ps = conn.preparedStatement(sql);
ps.setString(1, “col_value”); //将第一个?替换成col_value
ResultSet rs = ps.executeQuery();
PreparedStatement ps = conn.preparedStatement(sql);
ps.setString(1, “col_value”); //将第一个?替换成col_value
ResultSet rs = ps.executeQuery();
1.4 处理执行结果(ResultSet) //只有查询需要处理结果
While(rs.next()){
rs.getString(“col_name”);
rs.getInt(“col_name”);
//…
}
rs.getString(“col_name”);
rs.getInt(“col_name”);
//…
}
1.5 释放资源
(1)释放ResultSet, Statement,Connection.
(2)数据库连接(Connection)是非常稀有的资源,用完后必须马上释放,如果Connection不能及时正确的关闭将导致系统宕机。Connection的使用原则是尽量晚创建,尽量早的释放。
(2)数据库连接(Connection)是非常稀有的资源,用完后必须马上释放,如果Connection不能及时正确的关闭将导致系统宕机。Connection的使用原则是尽量晚创建,尽量早的释放。
2. 基本的CRUD(创建、读取、更新、删除)
2.1模板代码
Connection conn = null;
Statement st=null;
ResultSet rs = null;
try {
//获得Connection
//创建Statement
//处理查询结果ResultSet
} finally {
//释放资源ResultSet, Statement,Connection
}
2.2 CRUD总结
(1)增、删、改用Statement.executeUpdate来完成,返回整数(匹配的记录数),这类操作相对简单。
(2)查询用Statement.executeQuery来完成,返回的是ResultSet对象,ResultSet中包含了查询的结果;查询相对与增、删、改要复杂一些,因为有查询结果要处理。
3. SQL注入,PreparedStatement和Statement
在SQL中包含特殊字符或SQL的关键字(如 or '1=1')时Statement将出现不可预料的结果(出现异常或查询的结果不正确),可用PreparedStatement来解决。
PreperedStatement(从Statement扩展而来)相对Statement的优点:
1.没有SQL注入的问题。
2.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。
3.数据库和驱动可以对PreperedStatement进行优化(只有在相关联的数据库连接没有关闭的情况下有效)。
PreperedStatement(从Statement扩展而来)相对Statement的优点:
1.没有SQL注入的问题。
2.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。
3.数据库和驱动可以对PreperedStatement进行优化(只有在相关联的数据库连接没有关闭的情况下有效)。
解释SQL注入问题:其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,
对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符
如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!
