Java数据库连接(Java Database Connectivity,JDBC)
1.JDBC介绍
Java数据库连接(Java Database Connectivity,JDBC)是SUN公司为了简化、统一对数据库的操作,定义的一套Java操作数据库的规范(接口)。这套接口由数据库厂商去实现,这样,开发人员只需要学习JDBC接口,并通过JDBC加载具体的驱动,就可以操作数据库。
2.JDBC程序:
一个基本的JDBC程序如下所示:
public static void main(String[] args) throws ClassNotFoundException, SQLException {
//1.加载驱动
Class.forName("com.mysql.jdbc.Driver"); //固定写法
//2.用户信息和url
String url = "jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=true";
String username = "root";
String password = "123456";
//3.连接成功,数据库对象 Connection代表数据库
Connection connection = DriverManager.getConnection(url,username,password);
//4.执行SQL的对象 statement代表执行sql的对象
Statement statement = connection.createStatement();
//5.执行SQL的对象去执行SQL,可能存在结果,查看返回结果
String sql = "SELECT * FROM users";
ResultSet resultSet = statement.executeQuery(sql); //返回的结果集,查询到的所有结果都存在这里
while (resultSet.next()){
System.out.println("id="+resultSet.getObject("id"));
System.out.println("name="+resultSet.getObject("NAME"));
System.out.println("password="+resultSet.getObject("PASSWORD"));
System.out.println("email="+resultSet.getObject("email"));
System.out.println("birthday="+resultSet.getObject("birthday"));
System.out.println("===================================");
}
//6.释放链接
resultSet.close();
statement.close();
connection.close();
}
3.使用jdbc对数据库增删改查
在JDBC操作中,我们可以将数据库的驱动等信息存入一个配置文件中,并创建一个util工具类,存入一些方法,以后每次对数据库操作调入该方法即可。这样可以使我们的代码更加简洁。具体步骤如下:
(1)创建db.properties文件。
driver=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/jdbcStudy?
useUnicode=true&characterEncoding=utf8&useSSL=true
username=root
password=123456
(2)新建一个Util工具类。
public class JdbcUtils {
private static String driver = null;
private static String url = null;
private static String username = null;
private static String password = null;
static {
try {
InputStream in = JdbcUtils.class.getClassLoader().getResourceAsStream("db.properties");
Properties properties = new Properties();
properties.load(in);
driver = properties.getProperty("driver");
url = properties.getProperty("url");
username = properties.getProperty("username");
password = properties.getProperty("password");
//1.驱动只加载一次
Class.forName(driver);
}catch (IOException | ClassNotFoundException e){
e.printStackTrace();
}
}
//获取链接对象
public static Connection getConnection() throws SQLException {
return DriverManager.getConnection(url,username,password);
}
//释放资源
public static void release(Connection conn, Statement st, ResultSet rs){
if(rs!=null){
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(st!=null){
try {
st.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(conn!=null){
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
(3)对数据进行增删改查操作。
public static void main(String[] args) {
Connection conn = null;
Statement st = null;
ResultSet rs = null;
try {
conn = JdbcUtils.getConnection();//获取数据库链接
st = conn.createStatement();//获得SQL的执行对象
String sql = "UPDATE users SET `NAME`='zhangsansan',`email`='1231414@163.com' WHERE id=1";
int i = st.executeUpdate(sql);
if(i > 0){
System.out.println("更新成功!");
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
JdbcUtils.release(conn,st,rs);
}
}
4.SQL注入问题
我们编写如下代码,模拟一个登录操作。
public static void main(String[] args) {
//login("lisi","123456");//正常登录
login("'or '1=1","'or '1=1");//技巧
}
public static void login(String username,String password){
Connection conn = null;
Statement st = null;
ResultSet rs = null;
try {
conn = JdbcUtils.getConnection();
st = conn.createStatement();
String sql = "select * from users where `NAME` ='"+username+"'AND `PASSWORD`='"+password+"'";
rs = st.executeQuery(sql);//查询完毕会返回一个结果集
while(rs.next()){
System.out.println(rs.getString("NAME"));
System.out.println(rs.getString("PASSWORD"));
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
JdbcUtils.release(conn,st,rs);
}
}
上述代码中,正常输入用户名和密码:lisi 123456即可访问数据库中数据。但是如果用户在输入用户名和密码的位置输入代码中login()的参数:'or '1=1","'or '1=1,也可以实现访问数据库,这就导致了我们的程序不够安全。
login方法传入的这个参数和sql语句拼接后的结果为:
select * from users where NAME = ’ ’ or ‘1=1’ AND PASSWORD= ’ 'or '1=1’。这个语句是可以查询成功的。
即通过巧妙的技巧来拼接字符串,造成SQL短路,从而获取数据库数据。这就是SQL注入问题。
解决办法:
PreperedStatement是Statement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法获得,相对于Statement对象而言:PreperedStatement可以避免SQL注入的问题。
Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement可对SQL进行预编译,从而提高数据库的执行效率。并且PreperedStatement对于sql中的参数,允许使用占位符的形式进行替换,简化sql语句的编写。
使用 PreperedStatemen对象解决注入问题实例如下:
public static void main(String[] args) {
login("lisi","111111");//正常登录
//login("'or '1=1","'or '1=1");//技巧无法成功
}
public static void login(String username,String password){
Connection conn = null;
PreparedStatement st = null;
ResultSet rs = null;
try {
conn = JdbcUtils.getConnection();
//PreparedStatement防止sql注入的本质,把传递进来的参数当做字符
//加上其中存在转译字符,比如说'会被直接定义
String sql = "select * from users where `NAME` = ? AND `PASSWORD`= ?";
st = conn.prepareStatement(sql);
st.setString(1,username);
st.setString(2,password);
rs = st.executeQuery();//查询完毕会返回一个结果集
while(rs.next()){
System.out.println(rs.getString("NAME"));
System.out.println(rs.getString("PASSWORD"));
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
JdbcUtils.release(conn,st,rs);
}
}
5.事务
在JDBC中实现对事务的测试,从而加深对事务的理解。
ABC三个人的账户各有1000块,现在模拟A给B转账100块钱。首先需要先从A的账户扣除100元,随后再在B的账户中增加100元。
若全部执行成功,事务提交,两条SQL语句生效。如果中间某个环节出现错误,那么事务回滚,所有的SQL语句都不生效。
(1)新建一个account表:
| id | NAME | money |
|---|---|---|
| 1 | A | 800 |
| 2 | B | 1200 |
| 3 | C | 1000 |
(2)执行JDBC代码。
public static void main(String[] args) {
Connection conn = null;
PreparedStatement st = null;
ResultSet rs= null;
try {
conn= JdbcUtils.getConnection();
//关闭数据库的自动提交,自动会开启事务
conn.setAutoCommit(false);//开启事务
String sql1 = "update account set money = money-100 where name = 'A'";
st = conn.prepareStatement(sql1);
st.executeUpdate();
//int x = 1/0;//报错
String sql2 = "update account set money = money+100 where name = 'B'";
st = conn.prepareStatement(sql2);
st.executeUpdate();
//业务完毕,提交事务
conn.commit();
System.out.println("成功!");
} catch (SQLException e) {
try {
conn.rollback();//如果失败,回滚
} catch (SQLException e1) {
e1.printStackTrace();
}
e.printStackTrace();
} finally {
JdbcUtils.release(conn,st,rs);
}
}
代码执行成功,A减少100元,B增加100元。
(3)现在在代码中模拟植入一个错误,在A的账户扣除100元后执行一个会出错的代码,看看A是否会真的扣除100元。
package com.kuang.lesson04;
import com.kuang.lesson02.utils.JdbcUtils;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class TestTransaction1 {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement st = null;
ResultSet rs= null;
try {
conn= JdbcUtils.getConnection();
//关闭数据库的自动提交,自动会开启事务
conn.setAutoCommit(false);//开启事务
String sql1 = "update account set money = money-100 where name = 'A'";
st = conn.prepareStatement(sql1);
st.executeUpdate();
int x = 1/0;//报错
String sql2 = "update account set money = money+100 where name = 'B'";
st = conn.prepareStatement(sql2);
st.executeUpdate();
//业务完毕,提交事务
conn.commit();
System.out.println("成功!");
} catch (SQLException e) {
try {
conn.rollback();//如果失败,回滚
} catch (SQLException e1) {
e1.printStackTrace();
}
e.printStackTrace();
} finally {
JdbcUtils.release(conn,st,rs);
}
}
}
执行结果如下,程序执行失败。
数据库中A和B的账户都没有发生变化,说明事务回滚成功。