一、JDBC的API
1.什么是JDBC?
Java数据库连接-Java DataBase Connectivity。
JDBC可让Java通过程序操作关系型数据库。
JDBC基于驱动实现与数据库的连接与操作。
JDBC驱动程序,JDBCAPI(mysql驱动程序,oracle驱动程序,其他驱动程序),JDBC是一个标准,由对应的数据库厂商进行对接JDBC的统一接口。
2.JDBC的优点
提供统一的API,提供一致的开发过程。
易于学习,容易上手,代码结构稳定。
执行强大,执行效率高,可处理海量数据。
3.JDBC的流程
a:加载并注册JDBC驱动。
b:创建数据库连接。
c:创建Statement对象。
d:遍历查询结果。
e:关闭连接,释放资源。
4.创建数据库连接代码
String dbDriver = "com.mysql.cj.jdbc.Driver"; //JDBC驱动类 String dbURL = "jdbc:mysql://localhost:3306/imooc"; //连接字符串 String dbUsername = "root"; //数据库用户名 String dbPassword = "123456"; //数据库密码 //1.加载并初始化JDBC驱动 Class.forName(dbDriver); //2.创建数据库连接 Connection connection = DriverManager.getConnection(dbURL,dbUsername,dbPassword);
Class.forName的作用就是用于加载指定的JDBC驱动类。本质上是通知JDBC注册这个驱动类。驱动数据库厂商自行开发,连接字符串也不相同。
数据库 | JDBC驱动类 | 连接字符串 |
---|---|---|
MySQL | com.mysql.jdbc.Driver | jdbc:mysql://主机ip:端口/数据库名 |
MySQL | com.mysql.cj.jdbc.Driver | jdbc:mysql://主机ip:端口/数据库名 |
Oracle | oracle.jdbc.driver.OracleDriver | jdbc:oracle:thin:@主机ip:端口:数据库名 |
SQL Server | com.mircosoft.sqlserver.jdbc.SQLServerDriver | jdbc:mircosoft:主机ip:端口;databasename=数据库名 |
5.DriverManager
DriverManager用于注册/管理JDBC驱动程序。
DriverManager.getConnection(连接字符串,用户名,密码)。
返回值Connection对象,对应数据库的物理网络连接。
6.Connection对象
Connection对象用于JDBC与数据库的网络通信对象。
java.sql.Connection是一个接口,具体由驱动厂商实现。
所有数据库的操作都建立在Connection基础上。
7.MySQL连接字符串
格式:jdbc:mysql://[主机ip][:端口]/数据库名?参数列表。
主机ip与端口号是可选设置,默认值为127.0.0.1与3306。
参数列表采用url编码,格式:参数:参数1=值1&参数2=值2&…
参数名 | 建议参数值 | 说明 |
---|---|---|
useSSL | true(生产),false(开发) | 是否禁用ssl |
useUnicode | true | 启用unicode编程传输数据 |
characterEncoding | UFT-8 | 使用UTF-8编码传输数据 |
serverTimezone | Asia/Shanghai | 使用东8区时间,UTC+8 |
allowPublicKeyRetrieval | true | 允许从客户端获取公钥加密传输 |
连接数据库的代码,以及五个参数的应用,这里最应该注意的是时区这里的Shanghai的S一定要大写,不然就会报错,找不到这个时区。
package com.imooc.jdbc.sample; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; public class ConnectionSample { public static void main(String[] args) { try { Class.forName("com.mysql.cj.jdbc.Driver"); String url = "jdbc:mysql://localhost:3306/imooc?useSSL=false&useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai&allowPublicKeyRetrieval=true"; Connection conn = DriverManager.getConnection(url,"root","1314520Gx"); System.out.println(conn); } catch (ClassNotFoundException e) { e.printStackTrace(); } catch (SQLException e) { e.printStackTrace(); } } }
二、JDBC的查询操作以及SQL注入漏洞
1.实现按部门查询员工功能
该功能主要由两个类和一个接口组成
package com.imooc.jdbc.hrapp.command; import com.mysql.cj.jdbc.Driver; import java.sql.*; import java.util.Scanner; public class QueryCommand implements Command{ @Override public void execute() { Connection conn = null; Statement stmt = null; ResultSet rs = null; System.out.println("请输入部门名称:"); Scanner in = new Scanner(System.in); String pdname = in.next(); try { //1.加载注册JDBC驱动 Class.forName("com.mysql.cj.jdbc.Driver"); //2.创建数据库连接 conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/imooc?useSSL=false&useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai&allowPublicKeyRetrieval=true","root","1314520Gx"); //3.创建Statement对象 stmt = conn.createStatement(); //结果集 rs = stmt.executeQuery("select * from employee where dname='"+ pdname +"'"); //4.遍历查询结果 //rs.next()返回布尔值,代表是否存在下一条记录 //如果有,返回true,同时结果集提取下一条记录 //如果没有,返回false,循环就会停止 while(rs.next()){ Integer eno = rs.getInt(1); //JDBC中字段索引从1开始,而非0; String ename = rs.getString("ename"); Float salary = rs.getFloat("salary"); String dname = rs.getString("dname"); System.out.println(dname+"-"+ eno + "-" + ename + "-" + salary ); } } catch (ClassNotFoundException e) { e.printStackTrace(); } catch (SQLException e) { e.printStackTrace(); }finally { //5.关闭连接,释放连接 try { if(rs != null){ rs.close(); } } catch (SQLException e) { e.printStackTrace(); } try { if(stmt != null){ stmt.close(); } } catch (SQLException e) { e.printStackTrace(); } try { if (conn != null && !conn.isClosed()) { conn.close(); } } catch (SQLException e) { e.printStackTrace(); } } } }
package com.imooc.jdbc.hrapp; import com.imooc.jdbc.hrapp.command.Command; import com.imooc.jdbc.hrapp.command.QueryCommand; import java.util.Scanner; public class HumanResourceApplication { public static void main(String[] args) { System.out.println("1-查询部门员工"); Scanner in = new Scanner(System.in); Integer cmd = in.nextInt(); switch (cmd){ case 1: //查询部门员工 Command command = new QueryCommand(); command.execute(); break; } } }
package com.imooc.jdbc.hrapp.command; public interface Command { public void execute(); }
2.SQL注入攻击
简单的说就是在输入的数据中没有对单引号’这样的字符进行特殊的处理。
SQL注入攻击是指利用SQL漏洞越权获取数据的黑客行为。
SQL注入攻击根源是未对原始SQL中的敏感字符做特殊处理。
解决方法:放弃Statement改用PreparedStatement处理SQL。
3.PreparedStatement解决SQL注入问题
PreparedStatement预编译Statement是Statement的子接口。
PreparedStatement对SQL进行参数化,预防SQL注入攻击。
PreparedStatement比Statement执行效率更高。
完成了今天的学习目标:
1.JDBC的API。
2.JDBC的查询操作以及SQL注入漏洞。