JDBC及开发步骤

一、JDBC 概述

　　JDBC（Java Data Base Connectivity,java数据库连接）是一种用于执行SQL语句的Java API，可以为多种关系数据库提供统一访问，它由一组用Java语言编写的类和接口组成。是Java访问数据库的标准规范。

　　JDBC提供了一种基准,据此可以构建更高级的工具和接口，使数据库开发人员能够编写数据库应用程序。

　　JDBC需要连接驱动，驱动是两个设备要进行通信，满足一定通信数据格式，数据格式由设备提供商规定，设备提供商为设备提供驱动软件，通过软件可以与该设备进行通信。

●　总结：

　　JDBC是java提供给开发人员的一套操作数据库的接口。

　　数据库驱动就是实现该接口的实现类。

 

二、JDBC 原理

　　Java提供访问数据库规范称为JDBC，而生产厂商提供规范的实现类称为驱动。

　　早期SUN公司的天才们想编写一套可以连接天下所有数据库的API，但是当他们刚刚开始时就发现这是不可完成的任务，因为各个厂商的数据库服务器差异太大了。后来SUN开始与数据库厂商们讨论，最终得出的结论是，由SUN提供一套访问数据库的规范（就是一组接口），并提供连接数据库的协议标准，然后各个数据库厂商会遵循SUN的规范提供一套访问自己公司的数据库服务器的API出现。SUN提供的规范命名为JDBC，而各个厂商提供的，遵循了JDBC规范的，可以访问自己数据库的API被称之为驱动！

　　JDBC是接口，驱动是接口的实现，没有驱动将无法完成数据库连接，从而不能操作数据库！每个数据库厂商都需要提供自己的驱动，用来连接自己公司的数据库，也就是说驱动一般都由数据库生成厂商提供。

 

三、JDBC 开发步骤

导入驱动 jar 包

 

●　注册驱动

代码：Class.forName("com.mysql.jdbc.Driver")

1、JDBC规范定义驱动接口：java.sql.Driver

　　MySql驱动包提供了实现类：com.mysql.jdbc.Driver

2、DriverManager工具类，提供注册驱动的方法 registerDriver()，方法的参数是java.sql.Driver，所以我们可以通过如下语句进行注册:DriverManager.registerDriver(new com.mysql.jdbc.Driver());

　　以上代码不推荐使用，存在两方面不足：

　　（1）硬编码，后期不易于程序扩展和维护

　　（2）驱动被注册两次。

3、通常开发我们使用Class.forName() 加载一个使用字符串描述的驱动类。

　　如果使用Class.forName()将类加载到内存，该类的静态代码将自动执行。

　　通过查询com.mysql.jdbc.Driver源码，我们发现Driver类“主动”将自己进行注册。

 

●　获得连接

代码：Connection con = DriverManager.getConnection(“jdbc:mysql://localhost:3306/mydb”,”root”,”root”);

1、jdbc:mysql://localhost:3306/mydb

JDBC规定url的格式由三部分组成，每个部分中间使用冒号分隔。

　　第一部分是jdbc，这是固定的；

　　第二部分是数据库名称，那么连接mysql数据库，第二部分当然是mysql了；

　　第三部分是由数据库厂商规定的，我们需要了解每个数据库厂商的要求，mysql的第三部分分别由数据库服务器的IP地址（localhost）、端口号（3306），以及DATABASE名称(mydb)组成。

2、扩展：url 参数

　　jdbc:mysql://localhost:3306/mydbl?useUnicode=true&characterEncoding=UTF8

　　useUnicode 参数：指定这个连接数据库的过程中，使用的字节集是 Unicode 字节集；

　　characterEncoding 参数：指定 Java 程序连接数据库的过程中，使用的字节集编码为 UTF-8 编码。请注意，mysql中指定UTF-8编码是给出的是UTF8，而不是UTF-8。

 

●　获得语句执行平台

1、String sql = "某SQL语句";

获取Statement语句执行平台：Statement stmt = con.createStatement();

2、常用方法：

　　int executeUpdate(String sql); --执行insert update delete语句.

　　ResultSet executeQuery(String sql); --执行select语句.

　　boolean execute(String sql); --执行select返回true 执行其他的语句返回false。（如果返回 true ，需要使用 getResultSet（）获得查询结果；如果返回 false，需要使用 　　getUpdateCount（）获得影响行数）

 

●　处理结果(执行 insert、update、delete 无需处理)

　　ResultSet实际上就是一张二维的表格，我们可以调用其boolean next()方法指向某行记录，当第一次调用next()方法时，便指向第一行记录的位置，这时就可以使用ResultSet提供的getXXX(int col)方法(与索引从0开始不同个，列从1开始)来获取指定列的数据：

　　rs.next();//指向第一行

　　rs.getInt(1);//获取第一行第一列的数据

常用方法：

　　Object getObject(int index) / Object getObject(String name) 获得任意对象

　　String getString(int index) / Object getObject(String name) 获得字符串

　　int getInt(int index) / Object getObject(String name) 获得整形

　　double getDouble(int index) / Object getObject(String name) 获得双精度浮点型

ResultSet之滚动结果集（了解）

　　ResultSet表示结果集，它是一个二维的表格！ResultSet内部维护一个行光标（游标），ResultSet提供了一系列的方法来移动游标：

　　void beforeFirst()：把光标放到第一行的前面，这也是光标默认的位置；

　　void afterLast()：把光标放到最后一行的后面；

　　boolean first()：把光标放到第一行的位置上，返回值表示调控光标是否成功；

　　boolean last()：把光标放到最后一行的位置上；

　　boolean isBeforeFirst()：当前光标位置是否在第一行前面；

　　boolean isAfterLast()：当前光标位置是否在最后一行的后面；

　　boolean isFirst()：当前光标位置是否在第一行上；

　　boolean isLast()：当前光标位置是否在最后一行上；

　　boolean previous()：把光标向上挪一行；

　　boolean next()：把光标向下挪一行；

　　boolean relative(int row)：相对位移，当row为正数时，表示向下移动row行，为负数时表示向上移动row行；

　　boolean absolute(int row)：绝对位移，把光标移动到指定的行上；

　　int getRow()：返回当前光标所有行。

　　上面方法分为两类，一类用来判断游标位置的，另一类是用来移动游标的。如果结果集是不可滚动的，那么只能使用next()方法来移动游标，而beforeFirst()、afterLast()、first()、last()、previous()、relative()方法都不能使用！！！

　　结果集是否支持滚动，要从Connection类的createStatement()方法说起。也就是说创建的Statement决定了使用Statement创建的ResultSet是否支持滚动。

Statement createStatement(int resultSetType, int resultSetConcurrency)

resultSetType的可选值：

　　ResultSet.TYPE_FORWARD_ONLY：不滚动结果集；

　　ResultSet.TYPE_SCROLL_INSENSITIVE：滚动结果集，当数据库变化时，当前结果集不变；

　　ResultSet.TYPE_SCROLL_SENSITIVE：滚动结果集，当数据库变化时，当前结果集同步改变；

　　可以看出，如果想使用滚动的结果集，我们应该选择TYPE_SCROLL_INSENSITIVE！其实很少有数据库驱动会支持TYPE_SCROLL_SENSITIVE的特性！通常我们也不需要查询到的结果集再受到数据库变化的影响。

resultSetConcurrency的可选值：

　　CONCUR_READ_ONLY：结果集是只读的，不能通过修改结果集而反向影响数据库；

　　CONCUR_UPDATABLE：结果集是可更新的，对结果集的更新可以反向影响数据库。

获取滚动结果集的代码如下：

　　Connection con = …Statement stmt = con.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE, CONCUR_READ_ONLY);

　　String sql = …//查询语句

　　ResultSet rs = stmt.executeQuery(sql);//这个结果集是可滚动的

 

●　释放资源

　　与IO流一样，使用后的东西都需要关闭！（最后一步）关闭的顺序是先得到的后关闭，后得到的先关闭。

　　rs.close();

　　stmt.close();

　　con.close();

 

四、SQL 注入问题

1、假设有登录案例SQL语句如下:

SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;

此时，当用户输入正确的账号与密码后，查询到了信息则让用户登录。但是当用户输入的账号为XXX 密码为：XXX’  OR ‘a’=’a时，则真正执行的代码变为：

SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ’a’=’a’;

此时，上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了，显然我们不希望看到这样的结果，这便是SQL注入问题。

2、防止SQL攻击：

　　（1）过滤用户输入的数据中是否包含非法字符；

　　（2）分步校验！先使用用户名来查询用户，如果查找到了，再比较密码；

　　（3）使用PreparedStatement。

 

五、预处理对象

PreparedStatement叫预编译声明！

PreparedStatement是Statement的子接口，你可以使用PreparedStatement来替换Statement。

PreparedStatement的好处：

　　（1）防止SQL攻击；

　　（2）提高代码的可读性，以可维护性；

　　（3）提高效率。

PreparedStatement的使用：

　　（1）使用Connection的prepareStatement(String sql)：即创建它时就让它与一条SQL模板绑定；

　　（2）调用PreparedStatement的setXXX()系列方法为问号设置值

　　（3）调用executeUpdate()或executeQuery()方法，但要注意，调用没有参数的方法；

PreparedStatement最大的好处就是在于重复使用同一模板，给予其不同的参数来重复的使用它。这才是真正提高效率的原因。

常用方法：

执行SQL语句:

　　int executeUpdate(); --执行insert update delete语句.

　　ResultSet executeQuery(); --执行select语句.

　　boolean execute(); --执行select返回true 执行其他的语句返回false.