JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。是Java访问数据库的标准规范
JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序。
JDBC需要连接驱动,驱动是两个设备要进行通信,满足一定通信数据格式,数据格式由设备提供商规定,设备提供商为设备提供驱动软件,通过软件可以与该设备进行通信。
Java提供访问数据库规范称为JDBC,而生产厂商提供规范的实现类称为驱动。
JDBC是接口,驱动是接口的实现,没有驱动将无法完成数据库连接,从而不能操作数据库!每个数据库厂商都需要提供自己的驱动,用来连接自己公司的数据库,也就是说驱动一般都由数据库生成厂商提供。
CREATE TABLE sort( sid INT PRIMARY KEY AUTO_INCREMENT, sname VARCHAR(100), sprice DOUBLE, sdesc VARCHAR(5000) ); #初始化数据 INSERT INTO sort(sname,sprice,sdesc) VALUES(‘家电‘,2000,‘优惠的促销‘), (‘家具‘,8900,‘家具价格上调,原材料涨价‘), (‘儿童玩具‘,300,‘赚家长钱‘), (‘生鲜‘,500.99,‘生鲜商品‘), (‘服装‘,24000,‘换季销售‘), (‘洗涤‘,50,‘洗发水促销‘);
创建lib目录,用于存放当前项目需要的所有jar包
选择jar包,右键执行build path / Add to Build Path
代码:Class.forName("com.mysql.jdbc.Driver");
JDBC规范定义驱动接口:java.sql.Driver,MySql驱动包提供了实现类:com.mysql.jdbc.Driver
DriverManager工具类,提供注册驱动的方法 registerDriver(),方法的参数是java.sql.Driver,所以我们可以通过如下语句进行注册:
DriverManager.registerDriver(new com.mysql.jdbc.Driver());
以上代码不推荐使用,存在两方面不足
通常开发我们使用Class.forName() 加载一个使用字符串描述的驱动类。
如果使用Class.forName()将类加载到内存,该类的静态代码将自动执行。
通过查询com.mysql.jdbc.Driver源码,我们发现Driver类“主动”将自己进行注册
代码:Connection con = DriverManager.getConnection
(“jdbc:mysql://localhost:3306/mydb”,”root”,”root”);
获取连接需要方法 DriverManager.getConnection(url,username,password),三个参数分别表示,url 需要连接数据库的位置(网址) user用户名 password 密码
String sql = "某SQL语句";
获取Statement语句执行平台:Statement stmt = con.createStatement();
常用方法:
ResultSet实际上就是一张二维的表格,我们可以调用其boolean next()方法指向某行记录,当第一次调用next()方法时,便指向第一行记录的位置,这时就可以使用ResultSet提供的getXXX(int col)方法(与索引从0开始不同个,列从1开始)来获取指定列的数据:
常用方法:
与IO流一样,使用后的东西都需要关闭!关闭的顺序是先得到的后关闭,后得到的先关闭。
package cn.jxufe.java.chapter11.demo01; import java.sql.Connection; import java.sql.DriverManager; import java.sql.SQLException; import java.sql.Statement; /*JDBC操作数据库的步骤 * 1. 注册驱动. * 告知JVM是哪一个的数据库的驱动 2. 获得连接. 使用JDBC中的类完成对MYSQL的连接 3. 获得语句执行平台 通过连接对象获取对SQL语句的执行者对象 4. 执行sql语句 使用执行这对象,向数据库执行SQL语句 获取到数据库的执行后的结果 5. 处理结果 6. 释放资源. close() */ public class Test01JDBC { public static void main(String[] args) throws ClassNotFoundException, SQLException { // TODO Auto-generated method stub // 1.注册驱动 反射技术,将驱动类加入到内容 // 使用java.sql.DriverManager类静态方法 registerDriver(Driver driver) // Diver是一个接口,参数传递,MySQL驱动程序中的实现类 // DriverManager.registerDriver(new Driver()); // 驱动类源代码,注册2次驱动程序 Class.forName("com.mysql.jdbc.Driver"); // 2.获得数据库连接 DriverManager类中静态方法 // static Connection getConnection(String url, String user, String password) // 返回值是Connection接口的实现类,在mysql驱动程序 // url: 数据库地址 jdbc:mysql://连接主机IP:端口号/数据库名字 String url = "jdbc:mysql://localhost:3306/mydatabase"; String username = "root"; String password = "123456"; Connection con = DriverManager.getConnection(url, username, password); // 3.获得语句执行平台, 通过数据库连接对象,获取到SQL语句的执行者对象 // con对象调用方法 Statement createStatement() 获取Statement对象,将SQL语句发送到数据库 // 返回值是 Statement接口的实现类对象,,在mysql驱动程序 Statement stat = con.createStatement(); // 4.执行sql语句 // 通过执行者对象调用方法执行SQL语句,获取结果 // int executeUpdate(String sql) 执行数据库中的SQL语句, insert delete update // 返回值int,操作成功数据表多少行 int row = stat.executeUpdate("INSERT INTO sort(sname,sprice,sdesc) VALUES(‘汽车用品‘,50000,‘疯狂涨价‘)"); System.out.println(row); // 6.释放资源 一堆close() stat.close(); con.close(); } }
package cn.jxufe.java.chapter11.demo01; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; /* * JDBC技术,查询数据表,获取结果集 */ public class Test02JDBC { public static void main(String[] args) throws ClassNotFoundException, SQLException { // TODO Auto-generated method stub // 1. 注册驱动 Class.forName("com.mysql.jdbc.Driver"); // 2. 获取连接对象 String url = "jdbc:mysql://localhost:3306/mydatabase"; String username = "root"; String password = "123456"; Connection con = DriverManager.getConnection(url, username, password); // 3 .获取执行SQL 语句对象 Statement stat = con.createStatement(); // 拼写查询的SQL String sql = "SELECT * FROM sort"; // 4. 调用执行者对象方法,执行SQL语句获取结果集 // ResultSet executeQuery(String sql) 执行SQL语句中的select查询 // 返回值ResultSet接口的实现类对象,实现类在mysql驱动中 ResultSet rs = stat.executeQuery(sql); // 5 .处理结果集 // ResultSet接口方法 boolean next() 返回true,有结果集,返回false没有结果集 while (rs.next()) { // 获取每列数据,使用是ResultSet接口的方法 getXX方法参数中,建议写String列名 System.out.println(rs.getInt("sid") + " " + rs.getString("sname") + " " + rs.getDouble("sprice") + " " + rs.getString("sdesc")); } // 6.释放资源 rs.close(); stat.close(); con.close(); } }
CREATE TABLE users( id INT PRIMARY KEY AUTO_INCREMENT, username VARCHAR(100), PASSWORD VARCHAR(100) ); INSERT INTO users (username,PASSWORD) VALUES (‘a‘,‘1‘),(‘b‘,‘2‘); SELECT * FROM users;
package cn.jxufe.java.chapter11.demo01; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.util.Scanner; /* * Java程序实现用户登录,用户名和密码,数据库检查 * 演示被别人注入攻击 */ public class Test03JDBC { public static void main(String[] args) throws ClassNotFoundException, SQLException { // TODO Auto-generated method stub // 1. 注册驱动 Class.forName("com.mysql.jdbc.Driver"); // 2. 获取连接对象 String url = "jdbc:mysql://localhost:3306/mydatabase"; String username = "root"; String password = "123456"; Connection con = DriverManager.getConnection(url, username, password); // 3 .获取执行SQL 语句对象 Statement stat = con.createStatement(); Scanner sc = new Scanner(System.in); String user = sc.nextLine(); String pass = sc.nextLine(); // 执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败 String sql = "SELECT * FROM users WHERE username=‘" + user + "‘ AND PASSWORD=‘" + pass + "‘"; System.out.println(sql); ResultSet rs = stat.executeQuery(sql); while (rs.next()) { System.out.println(rs.getString("username") + " " + rs.getString("password")); } rs.close(); stat.close(); con.close(); } }
这就是注入攻击,别人密码不对,照样可以登录。
package cn.jxufe.java.chapter11.demo01; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.util.Scanner; /* * Java程序实现用户登录,用户名和密码,数据库检查 * 防止注入攻击 * Statement接口实现类,作用执行SQL语句,返回结果集 * 有一个子接口PreparedStatement (SQL预编译存储,多次高效的执行SQL) * PreparedStatement的实现类数据库的驱动中,如何获取接口的实现类 * * 是Connection数据库连接对象的方法 * PreparedStatement prepareStatement(String sql) */ public class Test04JDBC { public static void main(String[] args) throws ClassNotFoundException, SQLException { // TODO Auto-generated method stub // 1. 注册驱动 Class.forName("com.mysql.jdbc.Driver"); // 2. 获取连接对象 String url = "jdbc:mysql://localhost:3306/mydatabase"; String username = "root"; String password = "123456"; Connection con = DriverManager.getConnection(url, username, password); Scanner sc = new Scanner(System.in); String user = sc.nextLine(); String pass = sc.nextLine(); // 执行SQL语句,数据表,查询用户名和密码,如果存在,登录成功,不存在登录失败 String sql = "SELECT * FROM users WHERE username=? AND PASSWORD=?"; // 调用Connection接口的方法prepareStatement,获取PrepareStatement接口的实现类 // 方法中参数,SQL语句中的参数全部采用问号占位符 PreparedStatement pst = con.prepareStatement(sql); // System.out.println(pst); // 调用pst对象set方法,设置问号占位符上的参数 pst.setObject(1, user); pst.setObject(2, pass); // 调用方法,执行SQL,获取结果集 ResultSet rs = pst.executeQuery(); while (rs.next()) { System.out.println(rs.getString("username") + " " + rs.getString("password")); } rs.close(); pst.close(); con.close(); } }
这种方式可以防止注入攻击
原文:https://www.cnblogs.com/xinmomoyan/p/11028930.html