JDBC的基本使用2
1、maven项目使用JDBC
新建一个 maven JavaSE 项目,往 pom.xml 文件中添加以下依赖:
- <dependency>
- <groupId>mysql</groupId>
- <artifactId>mysql-connector-java</artifactId>
- <version>5.1.12</version>
- </dependency>
依赖添加完成后就可以直接使用 JDBC 连接数据库并操作了:
- public class JdbcTest01 {
- public static void main(String[] args) {
- Connection conn = null;
- Statement stmt = null;
- try {
- //1.注册驱动(mysql5之后的驱动jar包可以省略注册驱动的步骤)
- Class.forName("com.mysql.jdbc.Driver");
- //2.获取数据库连接对象
- conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "123456");
- //3.定义sql语句
- String sql = "update student set name = 'hahaha' where id = 1";
- //4.获取执行sql的对象
- stmt = conn.createStatement();
- //5.执行sql
- int count = stmt.executeUpdate(sql);
- System.out.println(count);
- } catch (ClassNotFoundException | SQLException e) {
- e.printStackTrace();
- } finally {
- //6.释放资源。为了避免空指针异常,必须先判断是否为null
- if(stmt != null) {
- try {
- stmt.close();
- } catch (SQLException e) {
- // TODO Auto-generated catch block
- e.printStackTrace();
- }
- }
- if(conn != null) {
- try {
- conn.close();
- } catch (SQLException e) {
- // TODO Auto-generated catch block
- e.printStackTrace();
- }
- }
- }
- }
- }
上面执行完成后输出结果为 1 。
2、Statement 对象实现增删改查
2.1、statement对象基本介绍
我们可以通过 Connection 对象的 createStatement() 方法来创建一个 Statement 对象,以此来执行 SQL 语句:
- Connection conn = DriverManager.getConnection(URL, 用户名, 密码); //建立连接
- Statement stmt = conn.createStatement(); //创建statement对象
- stmt.execute(SqlStr); //执行SQL
当你创建了一个 Statement 对象之后,你可以用它的三个执行方法的任一方法来执行 SQL 语句。
-
boolean execute(String SQL) : 可以执行任何SQL语句,但是这个语句较少使用。如果第一个结果是一个 ResultSet 对象,则返回的布尔值为 true ,否则都会返回 false 。当你需要使用真正的动态 SQL 时,可以使用这个方法来执行 SQL DDL 语句。
-
int executeUpdate(String SQL) : 常用该方法来执行DML语句(增删改),也可执行DDL语句(操作数据库和表结构)。它返回的是执行 SQL 语句影响的行的数目。
- ResultSet executeQuery(String SQL) : 常用该方法执行DQL语句(查询),它返回一个 ResultSet 对象。
在使用后 statement 对象后我们应该关闭它,通过调用 close() 方法就可以关闭。其实在我们关闭了 Connection 对象后,它也会自动关闭 Statement 对象。但我们应该始终明确关闭 Statement 对象,以确保真正的清除。
- Statement stmt = null;
- try {
- stmt = conn.createStatement( );
- ...
- }
- catch (SQLException e) {
- ...
- }
- finally {
- stmt.close();
- }
2.2、statement对象实现DML(增删改)
DML(增删改)语句都可以使用 execute() 或者 executeUpdate() 方法,一般我们可以使用 executeUpdate() 方法,因为该方法能返回 SQL 语句影响的行的数目。
-
boolean execute(String SQL) : 该方法可以执行任何的SQL语句。如果第一个结果是一个 ResultSet 对象,则返回的布尔值为 true ,否则返回 false 。当你需要使用真正的动态 SQL 时,可以使用这个方法来执行 SQL DDL 语句。
-
int executeUpdate(String SQL) : 常用该方法来执行DML语句(增删改),也可执行DDL语句(操作数据库和表结构)。它返回的是执行 SQL 语句影响的行的数目。
增删改语句执行方式都一样,只是SQL不一样而已:
- Class.forName("com.mysql.jdbc.Driver");
- Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "123456");
- String insertSql = "insert into student values (null, 'aaa', 22)"; //添加语句,自增主键可以赋值为null,数据库会自己处理
- String delSql = "delete from student where name = 'aaa'"; //删除语句
- String updateSql = "update student set name = 'newName' where name = 'aaaa'"; //修改语句
- Statement stmt = conn.createStatement();
- int count = stmt.executeUpdate(updateSql); //增删改只需直接替换sql语句就行,执行方式都一样
- if(count > 0) {
- System.out.println("成功" + count);
- }else {
- System.out.println("失败" + count);
- }
2.3、statement对象实现DDL(操作数据库和表)
DDL 语句也同样可以使用 executeUpdate() 方法:
- Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "123456");
- String insertSql = "alter table student add score varchar(20)"; //增加一列
- Statement stmt = conn.createStatement();
- int count = stmt.executeUpdate(insertSql);
executeUpdate() 执行 DDL 语句时返回值为 0
2.4、statement对象实现DQL(查询)
查询语句应该使用 executeQuery() 方法,该方法返回一个 ResultSet 对象,我们可以通过遍历该对象来获取到查询到的结果集:
- public void selectTest() {
- Connection conn = null;
- Statement stmt = null;
- ResultSet resultSet = null;
- try {
- Class.forName("com.mysql.jdbc.Driver");
- conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "123456");
- String selectSql = "select * from student";
- stmt = conn.createStatement();
- resultSet = stmt.executeQuery(selectSql);
- while (resultSet.next()){ //循环判断此时是否还有数据
- int id = resultSet.getInt("id");
- String username = resultSet.getString("name");
- int age = resultSet.getInt("age");
- System.out.println(id + "," + username + "," + age);
- }
- } catch (ClassNotFoundException | SQLException e) {
- e.printStackTrace();
- } finally {
- //释放资源,最后用的最先释放
- if (resultSet != null){
- try {
- resultSet.close();
- } catch (SQLException e) {
- e.printStackTrace();
- }
- }
- if(stmt != null) {
- try {
- stmt.close();
- } catch (SQLException e) {
- // TODO Auto-generated catch block
- e.printStackTrace();
- }
- }
- if(conn != null) {
- try {
- conn.close();
- } catch (SQLException e) {
- // TODO Auto-generated catch block
- e.printStackTrace();
- }
- }
- }
- }
ResultSet 资源也应该要主动释放。
2.4.1、ResultSet 对象
ResultSet 结果集对象,用于封装查询结果。
该对象的常用方法:
- boolean resultsetObj.next():游标向下移动一行,并且判断当前行是否是最后一行的末尾,即是否还有数据,有则返回 true,否则返回 false。游标在开始时指向的是查询到的数据集的第一行的上一行,也就是开始时就必须使用 next() 才有数据。
- getXxx(参数):获取数据。参数可以是列的编号(从1开始),比如 getString(1),或者是列的名称,如 getString("username")。
游标,类似指针索引。可以理解为,最初一开始时游标指在“列名”上,要取到数据就需要让游标向下移动,移动后就指向了第一行数据,然后就可以把第一行的每一列都取出来,一次只能获取一行中的一列数据。
3、PreparedStatement对象实现增删改查
PreparedStatement 接口扩展了 Statement 接口,它让你用一个常用的 Statement 对象增加几个高级功能,这个 statement 对象可以提供灵活多变的动态参数。
创建 PreparedStatement 对象:
- String sqlStr = "Update Employees SET age = ? WHERE id = ?";
- PreparedStatement pstmt = conn.prepareStatement(sqlStr);
JDBC 中所有的参数都被用 ? 符号表示,这是已知的参数标记。在执行 SQL 语句之前,你必须赋予每一个参数确切的数值。
setXXX() 方法将值绑定到参数,其中 XXX 表示你希望绑定到输入参数的 Java 数据类型。如果你忘了赋予值,你将收到一个 SQLException。每个参数标记映射它的序号位置,第一标记表示位置 1 ,下一个位置为 2 等等。
- String sql = "SELECT * FROM user WHERE login=? AND pass=?";
- PreparedStatement ps = conn.prepareStatement(sql);
- ps.setObject(1, name);
- ps.setObject(2, pass);
所有的 Statement 对象的方法都与数据库交互,execute()、executeQuery()、及executeUpdate() 也能被 PreparedStatement 对象引用。然而,这些方法被 SQL 语句修改后是可以输入参数的。
PreparedStatement可以有效防止sql注入,所以生产环境上一定要使用PreparedStatement,而不能使用Statement。
3.1、PreparedStatement对象实现增删改
使用 PreparedStatement 对象来执行 SQL 跟使用 statement 对象的方式差不多。
- @Test
- public void jdbcTest() {
- System.out.println(1111);
- Connection conn = null;
- PreparedStatement ps = null;
- try {
- Class.forName("com.mysql.jdbc.Driver");
- conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/db_test", "root", "123456");
- //改
- //String updatesql = "update students set name = ? where id = ?";
- //ps = conn.prepareStatement(updatesql);
- //ps.setObject(1, "newName");
- //ps.setInt(2, 1);
- //增
- //String insertSql = "insert into students2 values (?, ?)";
- //ps = conn.prepareStatement(insertSql);
- //ps.setInt(1, 3);
- //ps.setString(2, "lisi");
- //删
- String deleteSql = "delete from students2 where id = ?";
- ps = conn.prepareStatement(deleteSql);
- ps.setInt(1, 3);
- //执行sql。注意,这里无需传递sql作为参数
- int count = ps.executeUpdate();
- System.out.println(count);
- } catch (ClassNotFoundException | SQLException e) {
- e.printStackTrace();
- } finally {
- //6.释放资源。为了避免空指针异常,必须先判断是否为null
- if(ps != null) {
- try {
- ps.close();
- } catch (SQLException e) {
- // TODO Auto-generated catch block
- e.printStackTrace();
- }
- }
- if(conn != null) {
- try {
- conn.close();
- } catch (SQLException e) {
- // TODO Auto-generated catch block
- e.printStackTrace();
- }
- }
- }
- }
PreparedStatement 对象在使用后也需要关闭,只需简单调用 close() 方法就可以完成这项工作。如果你关闭了 Connection 对象,那么它也会关闭 PreparedStatement 对象。然而,你应该始终明确关闭 PreparedStatement 对象,以确保真正的清除。
4、SQL注入问题
使用Statement拼字符串非常容易引发SQL注入的问题,这是因为SQL参数往往是从方法参数传入的。
假设用户登录的验证方法如下:
- User login(String name, String pass) {
- ...
- stmt.executeQuery("SELECT * FROM user WHERE login='" + name + "' AND pass='" + pass + "'");
- ...
- }
其中,参数name和pass通常都是Web页面输入后由程序接收到的。
如果用户的输入是程序期待的值,就可以拼出正确的SQL。例如:name = "bob",pass = "1234":
- SELECT * FROM user WHERE login='bob' AND pass='1234'
但是,如果用户的输入是一个精心构造的字符串,就可以拼出意想不到的SQL,这个SQL也是正确的,但它查询的条件不是程序设计的意图。例如:name = "bob' OR pass=", pass = " OR pass='":
- SELECT * FROM user WHERE login='bob' OR pass=' AND pass=' OR pass=''
上面的SQL语句执行的时候,根本就不用判断密码是否正确,这样一来,登录就形同虚设。
要避免SQL注入攻击,一个办法是针对所有字符串参数进行转义,但是转义很麻烦,而且需要在任何使用SQL的地方增加转义代码。
还有一个办法就是使用PreparedStatement。使用PreparedStatement可以完全避免SQL注入的问题,因为PreparedStatement始终使用?作为占位符,并且把数据连同SQL本身传给数据库,这样可以保证每次传给数据库的SQL语句是相同的,只是占位符的数据不同,还能高效利用数据库本身对查询的缓存。上述登录SQL如果用PreparedStatement可以改写如下:
- User login(String name, String pass) {
- ...
- String sql = "SELECT * FROM user WHERE login=? AND pass=?";
- PreparedStatement ps = conn.prepareStatement(sql);
- ps.setObject(1, name);
- ps.setObject(2, pass);
- ...
- }
所以,PreparedStatement比Statement更安全,而且更快。
注意:使用Java对数据库进行操作时,必须使用PreparedStatement,严禁任何通过参数拼字符串的代码!
把上面使用Statement的代码改为使用PreparedStatement,如下:
- try (Connection conn = DriverManager.getConnection(JDBC_URL, JDBC_USER, JDBC_PASSWORD)) {
- try (PreparedStatement ps = conn.prepareStatement("SELECT id, grade, name, gender FROM students WHERE gender=? AND grade=?")) {
- ps.setObject(1, "M"); // 注意:索引从1开始
- ps.setObject(2, 3);
- try (ResultSet rs = ps.executeQuery()) {
- while (rs.next()) {
- long id = rs.getLong("id");
- long grade = rs.getLong("grade");
- String name = rs.getString("name");
- String gender = rs.getString("gender");
- }
- }
- }
- }
使用PreparedStatement和Statement稍有不同,必须首先调用setObject()设置每个占位符?的值,最后获取的仍然是ResultSet对象。另外注意到从结果集读取列时,使用String类型的列名比索引要易读,而且不易出错。
注意到JDBC查询的返回值总是ResultSet,即使我们写这样的聚合查询SELECT SUM(score) FROM ...,也需要按结果集读取:
- ResultSet rs = ...
- if (rs.next()) {
- double sum = rs.getDouble(1);
- }
5、mysql数据类型和java数据类型映射关系
使用JDBC的时候,我们需要在SQL数据类型和Java数据类型之间进行转换。JDBC在java.sql.Types定义了一组常量来表示如何映射SQL数据类型,但是平时我们使用的类型通常也就以下几种:
只有最新的JDBC驱动才支持LocalDate和LocalTime。
详细表格:
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· go语言实现终端里的倒计时
· 如何编写易于单元测试的代码
· 10年+ .NET Coder 心语,封装的思维:从隐藏、稳定开始理解其本质意义
· .NET Core 中如何实现缓存的预热?
· 从 HTTP 原因短语缺失研究 HTTP/2 和 HTTP/3 的设计差异
· 使用C#创建一个MCP客户端
· 分享一个免费、快速、无限量使用的满血 DeepSeek R1 模型,支持深度思考和联网搜索!
· ollama系列1:轻松3步本地部署deepseek,普通电脑可用
· 基于 Docker 搭建 FRP 内网穿透开源项目(很简单哒)
· 按钮权限的设计及实现
2019-01-23 JS中算法之排序算法