2020/7/18 JDBC

一、JDBC概述

　　JDBC（Java Data Base Connectivity,java数据库连接）是一种用于执行SQL语句的Java API，可以为多种关系数据库提供统一访问，

　　它由一组用Java语言编写的类和接口组成。是Java访问数据库的标准规范

　　DBC提供了一种基准,据此可以构建更高级的工具和接口，使数据库开发人员能够编写数据库应用程序。

　　JDBC需要连接驱动，驱动是两个设备要进行通信，满足一定通信数据格式，数据格式由设备提供商规定，设备提供商为设备提供驱动软件，通过软件可以与该设备进行通信。

　　今天我们使用的是mysql的驱动mysql-connector-java-5.1.39-bin.jar

二、JDBC原理

　　Java提供访问数据库规范称为JDBC，而生产厂商提供规范的实现类称为驱动。

　　　

 　　

　　JDBC是接口，驱动是接口的实现，没有驱动将无法完成数据库连接，从而不能操作数据库！

　　每个数据库厂商都需要提供自己的驱动，用来连接自己公司的数据库，也就是说驱动一般都由数据库生成厂商提供。

三、JDBC开发步骤

　　1、注册驱动.：告知JVM使用的是哪一个数据库的驱动

　　2、获得连接：使用JDBC中的类，完成对MySQL数据库的连接

　　　　　　　　  获得语句执行平台

　　　　　　　　  通过连接对象获取对SQL语句的执行者对象

　　3、执行sql语句：

　　　　　　　　使用执行者对象，向数据库执行SQL语句

　　　　　　　　获取到数据库的执行后的结果

　　4、处理结果

　　5、释放资源：调用一堆close()方法

　　代码如下：

                //注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //获得连接数据库对象
        String url="jdbc:mysql://localhost:3306/shop?        
                characterEncoding=utf8";
        String uname="root";
        String pwd="123456";
        Connection conn=DriverManager.getConnection(url,uname,pwd);
        System.out.println(conn);
        //获取执行sql语句对象
        Statement sta=conn.createStatement();
        //执行sql语句
        String sql="insert into sort(sname,sdesc) values('保健品','骗老人钱的')";
        
        int row=sta.executeUpdate(sql);
        System.out.println(row);
        //释放资源
        conn.close();
        sta.close();        

四、SQL注入问题

　　假设有登录案例SQL语句如下:

　　SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;

　　此时，当用户输入正确的账号与密码后，查询到了信息则让用户登录。但是当用户输入的账号为XXX 密码为：XXX’  OR ‘a’=’a时，则真正执行的代码变为：

　　SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ’a’=’a’;

　　此时，上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了，显然我们不希望看到这样的结果，这便是SQL注入问题。

　　为此，我们使用PreparedStatement来解决对应的问题。

五、API详解：预处理对象

　　1、使用PreparedStatement预处理对象时，建议每条sql语句所有的实际参数，都使用逗号分隔。

String sql = "insert into sort(sid,sname) values(?,?)";
PreparedStatement预处理对象代码：
PreparedStatement psmt = conn.prepareStatement(sql)

　　2、执行SQL语句

　　　　int executeUpdate(); --执行insert update delete语句.

　　　　ResultSet executeQuery(); --执行select语句.

　　　　boolean execute(); --执行select返回true 执行其他的语句返回false.

　　3、设置实际参数

　　　　void setXxx(int index, Xxx xx) 将指定参数设置为给定Java的xx值。在将此值发送到数据库时，驱动程序将它转换成一个 SQL Xxx类型值。

setString(2, "家用电器") 把SQL语句中第2个位置的占位符？ 替换成实际参数 "家用电器"

六、简单登录代码实例

//让用户输入用户名和密码
        System.out.println("请输入用户名：");
        Scanner sc=new Scanner(System.in);
        String name=sc.next();
        System.out.println("请输入密码：");
        String password=sc.next();
        //1.注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //2.获取连接数据库对象
        String url="jdbc:mysql://localhost:3306/shop?characterEncoding=utf8";
        String user="root";
        String pwd="123456";
        Connection conn=DriverManager.getConnection(url,user,pwd);
        //3.获得执行SQL语句对象
        String sql="select count(*) from user where uname=? and pwd=?";
        PreparedStatement pst=conn.prepareStatement(sql);
        //4.执行SQL语句
        pst.setString(1, name);
        pst.setString(2, password);
        ResultSet rs=pst.executeQuery();
        //5.处理结果集
        int count=0;
        while(rs.next()){
            count=rs.getInt(1);
        }
        if(count>0){
            System.out.println("登录成功！");
        }else{
            System.out.println("登录失败！");
        }
        //6.释放资源（先开后关）
        rs.close();
        pst.close();
        conn.close();