JDBC操作基本步骤:
1. 注册驱动.
在注册驱动之前首先要进行jar包下载,下载地址为https://dev.mysql.com/downloads/connector/j/将jar包导入项 目,
代码:Class.forName("com.mysql.jdbc.Driver");
JDBC规范定义驱动接口:java.sql.Driver,MySql驱动包提供了实现类:com.mysql.jdbc.Driver
DriverManager工具类,提供注册驱动的方法 registerDriver(),方法的参数是java.sql.Driver,所以我们可以通 过如下语句进行注册:
DriverManager.registerDriver(new com.mysql.jdbc.Driver());
以上代码不推荐使用,存在两方面不足
1. 硬编码,后期不易于程序扩展和维护
2. 驱动被注册两次。
通常开发我们使用Class.forName() 加载一个使用字符串描述的驱动类。
如果使用Class.forName()将类加载到内存,该类的静态代码将自动执行。
通过查询com.mysql.jdbc.Driver源码,我们发现Driver类“主动”将自己进行注册
public class Driver extends NonRegisteringDriver implements java.sql.Driver {
static {
try {
java.sql.DriverManager.registerDriver(new Driver());
} catch (SQLException E) {
throw new RuntimeException("Can't register driver!");
}
}
……
}2. 获得连接.
代码:
Connection con = DriverManager.getConnection(“jdbc:mysql://localhost:3306/mydb”,”root”,”root”); url 需要连接数据库的位置(网址) user用户名 password 密码
url比较复杂,下面是mysql的 url: jdbc:mysql://localhost:3306/mydb
JDBC规定url的格式由三部分组成,每个部分中间使用冒号分隔。
第一部分是jdbc,这是固定的;
第二部分是数据库名称,那么连接mysql数据库,第二部分当然是mysql了;
第三部分是由数据库厂商规定的,我们需要了解每个数据库厂商的要求,mysql的第三部分分别由数据库服 务器的IP地址(localhost)、端口号(3306),以及DATABASE名称(mydb)组成。
url比较复杂,下面是mysql的 url: jdbc:mysql://localhost:3306/mydb
JDBC规定url的格式由三部分组成,每个部分中间使用冒号分隔。
第一部分是jdbc,这是固定的;
第二部分是数据库名称,那么连接mysql数据库,第二部分当然是mysql了;
第三部分是由数据库厂商规定的,我们需要了解每个数据库厂商的要求,mysql的第三部分分别由数据库服 务器的IP地址(localhost)、端口号(3306),以及DATABASE名称(mydb)组成。
3. 获得语句执行平台
String sql = "某SQL语句";
获取Statement语句执行平台:Statement stmt = con.createStatement();
常用方法:
int executeUpdate(String sql); --执行insert update delete语句.
ResultSet executeQuery(String sql); --执行select语句.
boolean execute(String sql); --执行select返回true 执行其他的语句返回false.
获取Statement语句执行平台:Statement stmt = con.createStatement();
常用方法:
int executeUpdate(String sql); --执行insert update delete语句.
ResultSet executeQuery(String sql); --执行select语句.
boolean execute(String sql); --执行select返回true 执行其他的语句返回false.
4. 执行sql语句
例如:
int up= statement.executeUpdate("INSERT INTO dota(uname,utype,uword) VALUE ('盖子',1,'浩源');");5. 处理结果
ResultSet resultSet1=statement.executeQuery(sql1);
System.out.println(resultSet1.next());
while (resultSet1.next()){
System.out.println("uname"+resultSet1.getString("uname")+"utype"+resultSet1.getInt("utype")
+"uword"+resultSet1.getString("uword"));
} ResultSet实际上就是一张二维的表格,我们可以调用其boolean next()方法指向某行记录,当第一次调用next() 方法时,便指向第一行记录的位置,这时就可以使用ResultSet提供的getXXX(int col)方法(与索引从0开始不同个, 列从1开始)来获取指定列的数据:
rs.next();//指向第一行
rs.getInt(1);//获取第一行第一列的数据
常用方法:
Object getObject(int index) / Object getObject(String name) 获得任意对象
String getString(int index) / Object getObject(String name) 获得字符串
int getInt(int index) / Object getObject(String name) 获得整形
double getDouble(int index) / Object getObject(String name) 获得双精度浮点型
rs.next();//指向第一行
rs.getInt(1);//获取第一行第一列的数据
常用方法:
Object getObject(int index) / Object getObject(String name) 获得任意对象
String getString(int index) / Object getObject(String name) 获得字符串
int getInt(int index) / Object getObject(String name) 获得整形
double getDouble(int index) / Object getObject(String name) 获得双精度浮点型
6. 释放资源.
与IO流一样,使用后的东西都需要关闭!关闭的顺序是先得到的后关闭,后得到的先关闭。
rs.close();
stmt.close();
con.close();
rs.close();
stmt.close();
con.close();
JDBC中的SQL注入攻击:
实例代码如下
import com.mysql.jdbc.Connection;
import com.mysql.jdbc.Driver;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;
/**
* Created by Administrator on 2017/6/14.
*/
public class JDBCDemo {
public static void main(String [] strings) throws ClassNotFoundException, SQLException {
//注册数据库驱动,通过反射技术
// DriverManager.registerDriver(new Driver());
Class.forName("com.mysql.jdbc.Driver");
//获得数据库连接
String sql="jdbc:mysql://localhost:3306/users";
String user="root",password="root";
java.sql.Connection connection=DriverManager.getConnection(sql,user,password);
System.out.println(connection);
//获得sql语句执行者平台
Statement statement=connection.createStatement();
/**
* 数据库添加
*/
// int up= statement.executeUpdate("INSERT INTO dota(uname,utype,uword) VALUE ('盖',1,'浩源');");
//System.out.println(up);
/**
* 数据库查询
*/
// ResultSet resultSet=statement.executeQuery("SELECT * FROM dota");
//数据库注入攻击示例
Scanner scanner=new Scanner(System.in);
//使用输入类型数据为 z' or '1=1就构成了注入攻击类型学数据
String u1=scanner.nextLine();
String w1=scanner.nextLine();
String sql1= "SELECT * FROM dota WHERE uname='"+u1+"' AND uword='"+w1+"'";
//注入攻击类型
//ResultSet resultSet1=statement.executeQuery("SELECT * FROM dota WHERE uname='1' AND uword='2'OR 1=1");
ResultSet resultSet1=statement.executeQuery(sql1);
System.out.println(resultSet1.next());
while (resultSet1.next()){
System.out.println("uname"+resultSet1.getString("uname")+"utype"+resultSet1.getInt("utype")
+"uword"+resultSet1.getString("uword"));
}
//关闭资源
statement.close();
connection.close();
}
}当在输入用户名后在输入uword值输入 z' or '1=1 可能会造成在数据库不存在此条数据的时候也获得true的结果集合