方立勋_30天掌握JavaWeb_JDBC、SQL防注入（一）

JDBC简介

数据库驱动

SUN公司为了简化、统一对数据库的操作，定义了一套Java操作数据库的规范，称之为JDBC。



JDBC全称为：Java Data Base Connectivity（java数据库连接），它主要由接口组成。

组成JDBC的２个包：

java.sql

javax.sql

开发JDBC应用需要以上2个包的支持外，还需要导入相应JDBC的数据库实现（即数据库驱动）。

第一个JDBC程序

编写一个程序，这个程序从user表中读取数据，并打印在命令行窗口中。

一、搭建实验环境 ：

1. 在mysql中创建一个库，并创建user表和插入表的数据。

2. 新建一个Java工程，并导入数据驱动。

二、编写程序，在程序中加载数据库驱动

DriverManager. registerDriver(Driver driver)

三、建立连接(Connection)

Connection conn = DriverManager.getConnection(url,user,pass);

四、创建用于向数据库发送SQL的Statement对象，并发送sql

Statement st = conn.createStatement();

ResultSet rs = st.excuteQuery(sql);

五、从代表结果集的ResultSet中取出数据，打印到命令行窗口

六、断开与数据库的连接，并释放相关资源

1.先在数据库中新建数据库和表：

create database day14 character set utf8 collate utf8_general_ci;

use day14;

create table user(
id int primary key auto_increment,
name varchar(40),
password varchar(40),
email varchar(60),
birthday date
)character set utf8 collate utf8_general_ci;

insert into user(name,password,email,birthday) values('zs','123456','zs@sina.com','1980-12-04');
insert into user(name,password,email,birthday) values('lisi','123456','lisi@sina.com','1981-12-04');
insert into user(name,password,email,birthday) values('wangwu','123456','wangwu@sina.com','1979-12-04');

2.Java代码去访问数据库表：

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;

public class Demo1 {
public static void main(String[] args) throws Exception{

/**
create database jdbc character set utf8 collate utf8_general_ci;
use jdbc;

create table user(
id int primary key auto_increment,
name varchar(40),
password varchar(40),
email varchar(60),
birthday date
)character set utf8 collate utf8_general_ci;

insert into user(name,password,email,birthday) values('zs','123456','zs@sina.com','1980-12-04');
insert into user(name,password,email,birthday) values('lisi','123456','lisi@sina.com','1981-12-04');
insert into user(name,password,email,birthday) values('wangwu','123456','wangwu@sina.com','1979-12-04');
*/

String url="jdbc:mysql://localhost:3306/day14";
String user ="root";
String password="";

//      1. 加载驱动
DriverManager.registerDriver(new com.mysql.jdbc.Driver());

//      2.获取连接
Connection con = DriverManager.getConnection(url, user, password); //导入java.sql的包，非mysql包

//      3.获取向数据库发sql语句的statement对象
Statement st = con.createStatement();//导入java.sql的包，非mysql包

//      4.向数据库发送sql，获取数据库返回的结果集
ResultSet rs = st.executeQuery("select * from users");

//      5.从结果集中获取数据
while(rs.next()){
System.out.println(rs.getObject("id"));
System.out.println(rs.getObject("name"));
System.out.println(rs.getObject("password"));
System.out.println(rs.getObject("email"));
System.out.println(rs.getObject("birthday"));
}

rs.close();
st.close();
con.close();

}
}

这样的方式其实不好，查看Driver类源代码：

public class Driver extends NonRegisteringDriver implements java.sql.Driver {
// ~ Static fields/initializers
// ---------------------------------------------

//
// Register ourselves with the DriverManager
//
static {
try {
java.sql.DriverManager.registerDriver(new Driver());
} catch (SQLException E) {
throw new RuntimeException("Can't register driver!");
}
}

// ~ Constructors
// -----------------------------------------------------------

/**
* Construct a new driver and register it with DriverManager
*
* @throws SQLException
*             if a database error occurs.
*/
public Driver() throws SQLException {
// Required for Class.forName().newInstance()
}
}

会发现这里也进行注册了一次，所以加载mysql驱动会进行两次驱动加载。

这里可以采用另一种方式加载驱动：

Class.forName(“com.mysql.jdbc.Driver”);

MySQL官方手册说的也是这种方式。

程序详解

DriverManager

jdbc程序中的DriverManager用于加载驱动，并创建与数据库的链接，这个API的常用方法：

DriverManager.registerDriver(new Driver())

DriverManager.getConnection(url, user, password)，

注意：在实际开发中并不推荐采用registerDriver方法注册驱动。原因有二：

查看Driver的源代码可以看到，如果采用此种方式，会导致驱动程序注册两次，也就是在内存中会有两个Driver对象。

程序依赖mysql的api，脱离mysql的jar包，程序将无法编译，将来程序切换底层数据库将会非常麻烦。

推荐方式：Class.forName(“com.mysql.jdbc.Driver”);

采用此种方式不会导致驱动对象在内存中重复出现，并且采用此种方式，程序仅仅只需要一个字符串，不需要依赖具体的驱动，使程序的灵活性更高。

同样，在开发中也不建议采用具体的驱动类型指向getConnection方法返回的connection对象。

数据库URL

URL用于标识数据库的位置，程序员通过URL地址告诉JDBC程序连接哪个数据库，URL的写法为：

jdbc:mysql:［］//localhost:3306/test ?参数名：参数值



常用数据库URL地址的写法：

Oracle写法：jdbc:oracle:thin:@localhost:1521:sid

SqlServer—jdbc:microsoft:sqlserver://localhost:1433; DatabaseName=sid

MySql—jdbc:mysql://localhost:3306/sid

Mysql的url地址的简写形式： jdbc:mysql:///sid

常用属性：useUnicode=true&characterEncoding=UTF-8

Connection

Jdbc程序中的Connection，它用于代表数据库的链接，Collection是数据库编程中最重要的一个对象，客户端与数据库所有交互都是通过

connection对象完成的，这个对象的常用方法：

createStatement()：创建向数据库发送sql的statement对象。

prepareStatement(sql) ：创建向数据库发送预编译sql的PrepareSatement对象。

prepareCall(sql)：创建执行存储过程的callableStatement对象。

setAutoCommit(boolean autoCommit)：设置事务是否自动提交。

commit() ：在链接上提交事务。

rollback() ：在此链接上回滚事务。

Statement

Jdbc程序中的Statement对象用于向数据库发送SQL语句， Statement对象常用方法：

executeQuery(String sql) ：用于向数据发送查询语句。

executeUpdate(String sql)：用于向数据库发送insert、update或delete语句

execute(String sql)：用于向数据库发送任意sql语句

addBatch(String sql) ：把多条sql语句放到一个批处理中。

executeBatch()：向数据库发送一批sql语句执行。

ResultSet

jdbc程序中的ResultSet用于代表Sql语句的执行结果。Resultset封装执行结果时，采用的类似于表格的方式。ResultSet 对象维护了一个指向表格数据行的游标，初始的时候，游标在第一行之前，调用ResultSet.next() 方法，可以使游标指向具体的数据行，进行调用方法获取该行的数据。

ResultSet既然用于封装执行结果的，所以该对象提供的都是用于获取数据的get方法：

获取任意类型的数据

getObject(int index)

getObject(string columnName)

获取指定类型的数据，例如：

getString(int index)

getString(String columnName)

提问：数据库中列的类型是varchar，获取该列的数据调用什么方法？Int类型呢？bigInt类型呢？Boolean类型？

A：

常用数据类型转换表



ResultSet还提供了对结果集进行滚动的方法：

next()：移动到下一行

Previous()：移动到前一行

absolute(int row)：移动到指定行

beforeFirst()：移动resultSet的最前面。

afterLast() ：移动到resultSet的最后面

释放资源

Jdbc程序运行完后，切记要释放程序在运行过程中，创建的那些与数据库进行交互的对象，这些对象通常是ResultSet, Statement和Connection对象。

特别是Connection对象，它是非常稀有的资源，用完后必须马上释放，如果Connection不能及时、正确的关闭，极易导致系统宕机。Connection的使用原则是尽量晚创建，尽量早的释放。

为确保资源释放代码能运行，资源释放代码也一定要放在finally语句中。

使用JDBC对数据库进行CRUD

Jdbc中的statement对象用于向数据库发送SQL语句，想完成对数据库的增删改查，只需要通过这个对象向数据库发送增删改查语句即可。

Statement对象的executeUpdate方法，用于向数据库发送增、删、改的sql语句，executeUpdate执行完后，将会返回一个整数(即增删改语句导致了数据库几行数据发生了变化)。

Statement.executeQuery方法用于向数据库发送查询语句，executeQuery方法返回代表查询结果的ResultSet对象。

CRUD操作-create

使用executeUpdate(String sql)方法完成数据添加操作，示例操作：

Statement st = conn.createStatement();

String sql = "insert into user(….) values(…..) ";

int num = st.executeUpdate(sql);

if(num>0){
System.out.println("插入成功！！！");
}

CRUD操作-updata

使用executeUpdate(String sql)方法完成数据修改操作，示例操作：

Statement st = conn.createStatement();

String sql = “update user set name=‘’ where name=‘’";

int num = st.executeUpdate(sql);

if(num>0){
System.out.println(“修改成功！！！");
}

CRUD操作-delete

使用executeUpdate(String sql)方法完成数据删除操作，示例操作：

Statement st = conn.createStatement();

String sql = “delete from user where id=1;

int num = st.executeUpdate(sql);

if(num>0){
System.out.println(“删除成功！！！");
}

CRUD操作-read

使用executeQuery(String sql)方法完成数据查询操作，示例操作：

Statement st = conn.createStatement();

String sql = “select * from user where id=1;

ResultSet rs = st.executeUpdate(sql);

while(rs.next()){
//根据获取列的数据类型，分别调用rs的相应方法
//映射到java对象中
}

sql防注入

SQL 注入是用户利用某些系统没有对输入数据进行充分的检查，从而进行恶意破坏的行为。

1、statement存在sql注入攻击问题，例如登陆用户名采用’ or 1=1 or name=‘

2、对于防范 SQL 注入，可以采用PreparedStatement取代Statement。

PreparedStatement

PreperedStatement是Statement的孩子，它的实例对象可以通过调用Connection.preparedStatement()方法获得，相对于Statement对象而言：

PreperedStatement可以避免SQL注入的问题。

Statement会使数据库频繁编译SQL，可能造成数据库缓冲区溢出。PreparedStatement 可对SQL进行预编译，从而提高数据库的执行效率。

并且PreperedStatement对于sql中的参数，允许使用占位符的形式进行替换，简化sql语句的编写。