概述

JDBC概述：JDBC为访问不同数据库提供统一接口，为使用者屏蔽细节问题。Java程序员使用JDBC可以连接任何提供了JDBC驱动程序的数据库系统，从而完成对数据库的各种操作。

// 模拟代码
//JdbcInterface.java --Java规定的JDBC接口(方法)
public Interface JdbcInterface {
	public Object getConnect(); //连接
	public void crud(); //crud操作
	public void close(); //关闭连接
}

//MySQLJdbcImpl.java --厂商的jdbc实现，数据库驱动
public class MysqlJdbcImpl implements JdbcInterface {
	@Override
	public Object getConnect() { //连接
		System.out.println("得到mysql连接");
		return null;
	}
	public void crud(){ //crud操作
		System.out.println("完成mysql增删改查");
	}
	public void close(){ //关闭连接
		System.out.println("关闭mysql连接");
	}
}

//TestJDBC.java --调用
public class TestJDBC {
	public static void main(String[] args) {
		JdbcInterface jdbcinterface = new MysqlJdbcImpl(); //创建接口引用
		jdbcinterface.getConnection()  //通过接口调用实现类[多态 动态绑定机制：不同的对象，调用同意方法，返回不同的状态(不同类型的不同实现)]
		jdbcinterface.crud();
		jdbcinterface .close();
	}
}

JDBC快速入门

前置工作-添加驱动jar包：
1 拷贝到project_name/lib目录下
2 右击jar包 > Add as library… > OK

CREATE TABLE actor (
 id INT PRIMARY KEY AUTO_INCREMENT,
 `name` VARCHAR(32) NOT NULL DEFAULT '',
 sex CHAR(1) NOT NULL DEFAULT '女',
 bordate DATETIME,
 phone VARCHAR(12));

JDBC程序编写步骤
1 注册驱动-加载Driver类
2 获取连接-得到Connection
3 执行增删改查-发送SQL给mysql执行
4 释放资源-关闭相关连接

public class jdbc01 {
    public static void main(String[] args) throws SQLException {
        //1.注册驱动
        Driver driver = new Driver(); //创建driver对象

        //2.得到连接-mysql连接本质就是socket连接
        //(1) jdbc:mysql:// 规定好的表示协议，通过jdbc方式连接mysql
        //(2) localhost:3306 服务的ip(主机)和mysql监听端口
        //(3) hsp_db02 表示连接到mysql dbms的哪个数据库
        String url = "jdbc:mysql://localhost:3306/hsp_db02";
        //将用户名和密码放到Properties对象，key是user和password是规定好的，值根据实际情况填写
        Properties properties = new Properties();
        properties.setProperty("user", "root");//用户 密码
        //获取连接
        Connection connect = driver.connect(url, properties);

        //3.执行sql
        String sql = "insert into actor values(null, '刘德华', '男', '1970-6-1', '110')"; //序号自增长用空
        Statement statement = connect.createStatement(); //用于执行静态SQL语句dml，并返回其生成的结果的对象；select语句使用executeQuery(sql)
        int rows = statement.executeUpdate(sql); //受影响的行数
        System.out.println(rows > 0 ? "成功": "失败"); //三元运算符

        //4.关闭连接
        statement.close();
        connect.close(); //不关闭会导致mysql连接太多，后续程序连接不上
    }
}

※JDBC API

JDBC API是一系列的接口，它统一和规范了应用程序与数据库的连接、执行SQL语句，并得到返回结果等各类操作，相关类和接口在java.sql与javax.sql包中。

PrepareStatement
DriverManager
Statement
ResultSet

获取数据库连接的最佳方式

public void connect05() throws IOException, ClassNotFoundException, SQLException {
        //使用配置文件，连接数据库更灵活 -- 最完善

        //通过Properties对象获取配置文件信息
        Properties properties = new Properties();
        properties.load(new FileInputStream("src\\mysql.properties"));
        String user = properties.getProperty("user");
        String password = properties.getProperty("password");
        String url = properties.getProperty("url");
        String driver = properties.getProperty("driver");
        
		//使用反射加载Driver类-动态加载，更加灵活，减少依赖性
		// 在加载driver类时完成注册（静态代码块）
        Class.forName(driver);
        Connection connection = DriverManager.getConnection(url, user, password);
        System.out.println(connection);
    }

ResuleSet 结果集

· 表示数据库结果集的数据表，通常通过执行查询数据库的语句生成
· ResuleSet对象保持一个光标指向其当前的数据行，最初光标位于第一行之前
· next方法将光标移动到下一行，并且由于在ResultSet对象中没有更多行时返回false，因此使用while循环遍历结果

// 执行给定的SQL语句，该语句返回单个ResultSet对象
        ResultSet resultSet = statement.executeQuery(sql); //debug: resultSet = {JDBC42ResultSet@888} 是jdbc接口，实际是实现了该接口的类
        //5 使用while取出对象
        while (resultSet.next()) {
            int id = resultSet.getInt(1); //获取改行的第一列数据
            String name = resultSet.getString(2);
            String sex = resultSet.getString(3);
            Date date = resultSet.getDate(4);
            System.out.println(id + "\t" + name + "\t" + sex + "\t" + date);
        }
        //6 关闭连接
        resultSet.close();

SQl注入

Statement

Interface Statement：Statement对象 用于执行静态SQL语句并返回其生成结果的对象。

在连接建立后，需要对数据库进行访问，执行命令或是SQL语句，可以通过Statement(存在SQL注入风险，实际开发中一般不使用)、PreparedStatement(预处理)、CallableStatement(存储过程)

SQL注入(SQL injection)：是利用某些系统没有对用户输入的数据进行充分的检查，而在用户输入数据中注入非法的SQL语句段或命令，恶意攻击数据库。

SELECT * FROM admin WHERE name = 'tom' AND pwd = '123';
SELECT * FROM admin WHERE name = '1' or ' AND pwd = 1' or'1' = '1'; # 用户名为 1' or  密码为 or '1' = '1  查询条件永远正确

要防范SQL注入，只要用PreparedStatement(Statement扩展而来)取代Statement即可。

预处理

预处理查询

PreparedStatement执行的SQL语句中的参数用问号(?)来表示，调用PreparedStatement对象的.setXxx(param_index, param_value)方法来设置这些参数，方法中的两个参数分别是SQL语句中的参数索引(从1开始)、参数值
调用excuteQuery()，返回ResultSet对象
调用executeUpdate()，执行更新，包括增、删、修改，返回受影响的行数。
优点（升级Statement）：不再使用+拼接sql语句，减少语法错误；有效解决sql注入问题（通过控制访问的.setXxx()方法校验）；减少编译次数，提高效率。

//3 得到PreparedStatement
        // 3.1 组织sql语句
        String sql = "select `name`, pwd from admin where `name` = ? and pwd = ?"; //sql语句的？相当于占位符
        // 3.2 接口 真正返回的对象是实现了该接口的类的实例
        PreparedStatement preparedStatement = connection.prepareStatement(sql);
        // 3.3 给sql参数赋值
        preparedStatement.setString(1, admin_name);
        preparedStatement.setString(2, admin_pwd);
        // 4 执行给定的SQL语句，该语句返回单个ResultSet对象
        ResultSet resultSet = preparedStatement.executeQuery(); // 绑定更新后的sql，不填参数sql，否则是包含？的
        if (resultSet.next()) { //如果查询到一条记录，则说明该管理员存在
            System.out.println("恭喜，登录成功");
        } else { // 控制住完成密码
            System.out.println("sorry，登录失败");
        }

预处理DML

// 3.1 组织sql语句
String sql1 = insert into admin values (?, ?)";
String sql2 = update admin set name = ? where pwd = ?";
String sql3 = delete from admin where name = ?";
...
// 4 执行给定的SQL语句，该语句返回单个ResultSet对象
int rows = preparedStatement.executeUpdate()
System.out.println(rows > 0 ? "执行成功" : "执行失败")