JDBC的开发步骤

                //注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //获得连接数据库对象
        String url="jdbc:mysql://localhost:3306/shop?        
                characterEncoding=utf8";
        String uname="root";
        String pwd="123456";
        Connection conn=DriverManager.getConnection(url,uname,pwd);
        System.out.println(conn);
        //获取执行sql语句对象
        Statement sta=conn.createStatement();
        //执行sql语句
        String sql="insert into sort(sname,sdesc) values(‘保健品‘,‘骗老人钱的‘)";
        
        int row=sta.executeUpdate(sql);
        System.out.println(row);
        //释放资源
        conn.close();
        sta.close();        

四、SQL注入问题

　　假设有登录案例SQL语句如下:

　　SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;

　　此时，当用户输入正确的账号与密码后，查询到了信息则让用户登录。但是当用户输入的账号为XXX 密码为：XXX’  OR ‘a’=’a时，则真正执行的代码变为：

　　SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ’a’=’a’;

　　此时，上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了，显然我们不希望看到这样的结果，这便是SQL注入问题。

　　为此，我们使用PreparedStatement来解决对应的问题。

五、API详解：预处理对象

　　1、使用PreparedStatement预处理对象时，建议每条sql语句所有的实际参数，都使用逗号分隔。

String sql = "insert into sort(sid,sname) values(?,?)";
PreparedStatement预处理对象代码：
PreparedStatement psmt = conn.prepareStatement(sql)

　　2、执行SQL语句

　　　　int executeUpdate(); --执行insert update delete语句.

　　　　ResultSet executeQuery(); --执行select语句.

　　　　boolean execute(); --执行select返回true 执行其他的语句返回false.

　　3、设置实际参数

　　　　void setXxx(int index, Xxx xx) 将指定参数设置为给定Java的xx值。在将此值发送到数据库时，驱动程序将它转换成一个 SQL Xxx类型值。

setString(2, "家用电器") 把SQL语句中第2个位置的占位符？ 替换成实际参数 "家用电器"

六、简单登录代码实例

//让用户输入用户名和密码
        System.out.println("请输入用户名：");
        Scanner sc=new Scanner(System.in);
        String name=sc.next();
        System.out.println("请输入密码：");
        String password=sc.next();
        //1.注册驱动
        Class.forName("com.mysql.jdbc.Driver");
        //2.获取连接数据库对象
        String url="jdbc:mysql://localhost:3306/shop?characterEncoding=utf8";
        String user="root";
        String pwd="123456";
        Connection conn=DriverManager.getConnection(url,user,pwd);
        //3.获得执行SQL语句对象
        String sql="select count(*) from user where uname=? and pwd=?";
        PreparedStatement pst=conn.prepareStatement(sql);
        //4.执行SQL语句
        pst.setString(1, name);
        pst.setString(2, password);
        ResultSet rs=pst.executeQuery();
        //5.处理结果集
        int count=0;
        while(rs.next()){
            count=rs.getInt(1);
        }
        if(count>0){
            System.out.println("登录成功！");
        }else{
            System.out.println("登录失败！");
        }
        //6.释放资源（先开后关）
        rs.close();
        pst.close();
        conn.close();

JDBC的开发步骤

标签：对象   预处理   实现   信息   new   boolean   java数据库   处理对象   cut