时间:2021-07-01 10:21:17 帮助过:14人阅读
有了这三步我们就能根据返回的preparedStatement操作数据库了,下面我们在main方法中测试一波。
public static void main(String[] args) {
String sql = "SELECT * FROM person";
JDBCTest01 dbManager = new JDBCTest01(sql);
String id, name, age;
try{
ResultSet result = dbManager.preparedStatement.executeQuery();
while(result.next()){
id = result.getString(1);
name = result.getString(2);
age = result.getString(3);
//显示出每一行数据
System.out.println(id + " " + name + " " + age);
}
result.close();
dbManager.close();
connection.close();
preparedStatement.close();
}catch (Exception e){
e.printStackTrace();
}
}
用完了之后关闭就好。到现在为止一个完整的JDBC案例也给出来了。现在我们来分析一下使用一个数据库的一般步骤。针对以上3各功能,提供了一下4个类:
(1)DriverManager:该类管理数据库驱动程序。
(2)Connection:管理数据库建立的连接。
(3)Statement:负责将要执行的sql体局提交到数据库。
(4)ResultSet:执行sql查询语句返回的结果集。
1、注册驱动
JDBC中规定,驱动类在被加载时,需要自己“主动”把自己注册到DriverManger中,如何注册一个驱动呢?上面我们好像使用的是反射,但是反射只是实现了注册的功能,追究其原理,我们还需要到com.mysql.jdbc.Driver类的源代码中找寻答案。
public class Driver extends NonRegisteringDriver implements java.sql.Driver {
static {
try {
java.sql.DriverManager.registerDriver(new Driver());
} catch (SQLException E) {
throw new RuntimeException("Can‘t register driver!");
}
}
}
也就是说我们注册驱动的时候只是new了自己,也就是Driver,既然这样我们直接把注册驱动类的代码修改为加载驱动类。也可以实现同样的功能,于是就使用Class.forName(“com.mysql.jdbc.Driver”); 代替了,形式也更加的简单。
2、获取连接
在分析原理的时候意思就是有了驱动,我们还要和我们的数据库建立连接。这个很简单,既然是数据库,我们首先需要指定我们使用的数据库是哪一个,还有用户名和密码。
3、获取Statement
获取了连接之后,下面我们就可以获取Statement。Statement是用来向数据库发送要执行的SQL语句的。
Statement最为重要的方法是:
(1)int executeUpdate(String sql):执行更新操作,即执行insert、update、delete语句,其实这个方法也可以执行create table、alter table,以及drop table等语句,但我们很少会使用JDBC来执行这些语句;
(2)ResultSet executeQuery(String sql):执行查询操作,执行查询操作会返回ResultSet,即结果集。
4、读取结果集中的数据
我们在main方法中测试了一下,首先定义了一条sql语句,然后使用Statement向数据库发送我们的sql语句。此时会返回一个结果集ResultSet。
ResultSet就是一张二维的表格,我们可以调用rs对象的next()方法把“行光标”向下移动一行,当第一次调用next()方法时,“行光标”就到了第一行记录的位置,这时就可以使用ResultSet提供的getXXX(int col)方法来获取指定列的数据了。当然里面的方法还很多。
(1)String getString(int columnIndex):获取指定列的String类型数据;
(2)int getInt(int columnIndex):获取指定列的int类型数据;
(3) double getDouble(int columnIndex):获取指定列的double类型数据;
(4)boolean getBoolean(int columnIndex):获取指定列的boolean类型数据;
(5)Object getObject(int columnIndex):获取指定列的Object类型的数据。
(6)String getString(String columnName):获取名称为columnName的列的String数据;
(7)int getInt(String columnName):获取名称为columnName的列的int数据;
(8)double getDouble(String columnName):获取名称为columnName的列的double数据;
(9)boolean getBoolean(String columnName):获取名称为columnName的列的boolean数据;
(10)Object getObject(String columnName):获取名称为columnName的列的Object数据;
上面其实分了两类。一类是根据指定列,一类是根据指定列名。
当然如果执行失败了呢?是否要支持滚动呢?这要从Connection类的createStatement()方法说起。也就是说创建的Statement决定了使用Statement创建的ResultSet是否支持滚动。
Statement createStatement(int resultSetType, int resultSetConcurrency)
resultSetType的可选值:
(1)ResultSet.TYPE_FORWARD_ONLY:不滚动结果集;
(2)ResultSet.TYPE_SCROLL_INSENSITIVE:滚动结果集,但结果集数据不会再跟随数据库而变化;
(3)ResultSet.TYPE_SCROLL_SENSITIVE:滚动结果集,但结果集数据不会再跟随数据库而变化;
可以看出,如果想使用滚动的结果集,我们应该选择TYPE_SCROLL_INSENSITIVE!其实很少有数据库驱动会支持TYPE_SCROLL_SENSITIVE的特性!通常我们也不需要查询到的结果集再受到数据库变化的影响。
现在来看基本上JDBC就这么多内容,还有最后一个问题。那就是sql注入攻击的问题。
三、sql注入攻击
为了解释好他的概念,我们使用java关键字来讲解,我们在写代码的时候都知道Class是java中的一个关键字,我们不能把它当成一个普通变量来定义,对于sql也是同样的道理,比如select是一个查询关键字,我们就不能把它当成一个普通的字段来操作。
但是这样会出现一个问题,我们的用户总是千奇百怪,你不知道他会做出什么样的事,万一用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,这样的攻击方式就叫做sql注入攻击。
JDBC是如何解决这个问题的呢?还要从我们的第三步获取Statement说起。PreparedStatement利用预编译的机制将sql语句的主干和参数分别传输给数据库服务器,从而使数据库分辨的出哪些是sql语句的主干哪些是参数,这样一来即使参数中带了sql的关键字,数据库服务器也仅仅将他当作参数值使用,从而从原理上防止了sql注入的问题。
一句话来总结就是把主干和参数分别传输。
其实不仅仅有PreparedStatement,还有一个Statment类也能执行sql语句,功能类似。但是稍微有一点区别,PreparedStatement 与Statment比较:
语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql
效率不同: PreparedStatement可以使用sql缓存区,效率比Statment高
安全性不同: PreparedStatement可以有效防止sql注入,而Statment不能防止sql注入。
一个基础又很重要的知识点:JDBC原理(基本案例和面试知识点)
标签:create result acl 支持 jdbc main 执行 规范 连接数