JDBC 概述

JDBC (Java DataBase Connectivity):java数据库连接，SUN公司推出的Java访问数据库的标准规范(接口)
1.JDBC是一种用于执行SQL语句的Java API
2.JDBC可以为多种关系数据库提供统一访问入口
3.JDBC由一组Java工具类和接口组成

JDBC原理

SUN提供访问数据库规范称为JDBC，各个厂商提供规范的实现类称为驱动
JDBC是接口，驱动是接口的实现，

JDBC 开发步骤

1.注册驱动
2.获得连接
3.获得语句执行者
4.执行sql语句
5.处理结果
6.释放资源

注册驱动

Class.forname("com.mysql.jdbc.Driver")

• 步骤1：
  * JDBC规范定义驱动接口：java.sql.Driver
  * MySql驱动包提供了实现类：com.mysql.jdbc.Driver
• 步骤2：
  * DriverManager工具类提供注册驱动的方法registerDriver(),方法的参数是java.sql.Driver,注册驱动语句：

DriverManger.registerDriver(new com.mysql.jdbc.Driver())

这种方式硬编码，不易拓展和维护，不使用，这种方式使得驱动注册了两次

• 步骤3：
  * 在开发中我们通常使用Class.forname()加载一个使用字符串描述的驱动类，使用静态代码自动执行。

源码 加载类自动注册

 static {
        try {
            DriverManager.registerDriver(new Driver());
        } catch (SQLException var1) {
            throw new RuntimeException("Can\'t register driver!");
        }
    }

获得链接

Connection con = DriverManager.getConnection(数据库地址url,用户名,密码);

• 数据库地址Url
  • jdbc:mysql://localhost:3306/mydb1

  jdbc规定url的格式由三部分组成
  1.jdbc 固定格式
  2.数据库名称 mysql
  3.数据库地址

• 扩展url参数

jdbc:mysql://localhost:3306/mydb1?useUnicode=true&characterEncoding=utf8

获得语句执行

String sql = "sql语句"
Statement stmt = con.createStatement();

执行sql语句

• int executeUpdate(String sql) 执行insert update delete 语句 DML语句
• ResultSet executeQuery(String sql) 执行select语句 DQL 返回一个结果集
• boolean execute(String sql) 执行select返回true 其它返回false
  * 如果返回true 需要使用getResultSet()获取查询结果
  * 如果返回false 需要使用getUpdateCount() 获得影响行数

处理结果集

ResultSet实际上就是一张二维的表格，内部有一个“行光标”，光标默认的位置在第一行上方，我们可以调用rs对象的next()方法把行光标向下移动一行，可以使用ResultSet getxxx()方法获取指定列的数据

• getInt(int col)获取整型数据
• getString(int col)获取字符串对象
• getDouble(int col) 获取双精度浮点型
• Object getObject(int col) 获取对象

上面方法中，参数columnIndex表示列的索引，列索引从1开始，而不是0，这第一点与数组不同。如果你清楚当前列的数据类型，那么可以使用getInt()之类的方法来获取，如果你不清楚列的类型，那么你应该使用getObject()方法来获取。

• void beforeFirst()：把光标放到第一行的前面，这也是光标默认的位置；
• void afterLast()：把光标放到最后一行的后面；
• boolean first()：把光标放到第一行的位置上，返回值表示调控光标是否成功；
• boolean last()：把光标放到最后一行的位置上；
• boolean isBeforeFirst()：当前光标位置是否在第一行前面；
• boolean isAfterLast()：当前光标位置是否在最后一行的后面；
• boolean isFirst()：当前光标位置是否在第一行上；
• boolean isLast()：当前光标位置是否在最后一行上；
• boolean previous()：把光标向上挪一行；
• boolean next()：把光标向下挪一行；
• boolean relative(int row)：相对位移，当row为正数时，表示向下移动row行，为负数时表示向上移动row行；
• boolean absolute(int row)：绝对位移，把光标移动到指定的行上；
• int getRow()：返回当前光标所有行。

预处理 PreparedStatement

String sql = "insert into category(cid,cname) values(?,?);";
预处理 PrepareStatement stmt = conn.prepareStatement(sql);

• setXxxxx(int T) 将占位符的参数替换为实际的参数，
• setXxxxx(int T) 传递两个参数 第一个指定第几个参数，注意此处是从1开始 第二个是替换的占位符的值

对于SQL注入攻击

在需要用户输入的地方，用户输入的是SQL语句的片段，最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的SQL语句！例如用户在登录时输入的用户名和密码都是为SQL语句的片段！

• 防止SQL注入
  1.过滤用户输入的数据中是否含有非法字符

2. 分步校验，先校验用户名后校验密码
3. 使用PrepareStatement

• PreparedStatement叫预编译声明！
  PreparedStatement是Statement的子接口，你可以使用PreparedStatement来替换Statement。

• 使用Connection的prepareStatement(String sql)：即创建它时就让它与一条SQL模板绑定；
• 调用PreparedStatement的setXXX()系列方法为问号设置值
• 调用executeUpdate()或executeQuery()方法，但要注意，调用没有参数的方法；

在使用Connection创建PreparedStatement对象时需要给出一个SQL模板，所谓SQL模板就是有“?”的SQL语句，其中“?”就是参数。
在得到PreparedStatement对象后，调用它的setXXX()方法为“?”赋值，这样就可以得到把模板变成一条完整的SQL语句，然后再调用PreparedStatement对象的executeQuery()方法获取ResultSet对象。
注意PreparedStatement对象独有的executeQuery()方法是没有参数的，而Statement的executeQuery()是需要参数（SQL语句）的。因为在创建PreparedStatement对象时已经让它与一条SQL模板绑定在一起了，所以在调用它的executeQuery()和executeUpdate()方法时就不再需要参数了。
PreparedStatement最大的好处就是在于重复使用同一模板，给予其不同的参数来重复的使用它。这才是真正提高效率的原因。
所以，建议大家在今后的开发中，无论什么情况，都去需要PreparedStatement，而不是使用Statement。

• 示例代码

 public void testLogin(String username, String password) {
        //注册驱动
        try {
            Class.forName("com.mysql.jdbc.Driver");
            // 获取链接
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/j2eeweb2", "root", "xml123xml");
            // 获取语句执行
//            stmt = conn.createStatement();
            stmt = conn.prepareStatement("select * from user where uname = ? and upassword = ?");
            stmt.setString(1, username);
            stmt.setString(2, password);
//             执行语句
            resultSet = stmt.executeQuery();
            // 处理结果集
            if (resultSet.next()) {
                System.out.println("登录成功");
            } else {
                System.out.println("登录失败");
            }
            if (resultSet != null) {
                resultSet.close();

            }
            if (stmt != null) {

                stmt.close();
            }
            if (conn != null) {

                conn.close();
            }
        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        }
    }

释放资源

操作结束后需要关闭资源，关闭顺序是先得到的先关闭，后得到的后关闭

• rs.close()
• stmt.close()
• con.close()
• 示例规范化代码

@Test
    public void query() {
        Connection con = null;
        Statement stmt = null;
        ResultSet rs = null;
        try {
            con = getConnection();
            stmt = con.createStatement();
            String sql = "select * from user";
            rs = stmt.executeQuery(sql);
            while(rs.next()) {
                String username = rs.getString(1);
                String password = rs.getString(2);
                System.out.println(username + ", " + password);
            }
        } catch(Exception e) {
            throw new RuntimeException(e);
        } finally {
            try {
                if(rs != null) rs.close();
                if(stmt != null) stmt.close();
                if(con != null) con.close();
            } catch(SQLException e) {}      
        }
    }