BCSP-玄子JAVA开发之JAVA数据库编程CH-08_JDBC
BCSP-玄子JAVA开发之JAVA数据库编程CH-08_JDBC
8.1 JDBC 介绍
8.1.1 什么是 JDBC
JDBC(Java Database Conectivity)
Java数据库连接技术的简称,提供连接各种常用数据库的能力
8.1.2 JDBC 的工作原理
JDBC API
内容:供程序员调用的接口与类,集成在java.sql和javax.sql包中,如
- DriverManager类
- Connection接口
- Statement接口
- ResultSet接口
DriverManager
- 作用:管理各种不同的JDBC驱动
JDBC 驱动
- 提供者:数据库厂商
- 作用:负责连接各种不同的数据库
8.1.3 JDBC API
JDBC API 主要功能
-
与数据库建立连接、执行SQL 语句、处理结果
-
DriverManager :依据数据库的不同,管理JDBC驱动
-
Connection :负责连接数据库并担任传送数据的任务
-
Statement :由 Connection 产生、负责执行SQL语句
-
esultSet:负责保存Statement执行后的查询结果
8.2 使用 JDBC 连接数据库
8.2.1 导入 JDBC 驱动 JAR 包
数据库版本:MySQL5.7
MySQL官网下载对应的JDBC驱动JAR包
- mysql-connector-java-8.0.19.jar
驱动类
- com.mysql.cj.jdbc.Driver
8.2.2 纯 Java 驱动方式
使用纯Java方式连接数据库
-
由JDBC驱动直接访问数据库
-
优点:完全Java代码,快速、跨平台
-
缺点:访问不同的数据库需要下载专用的JDBC驱动
-
JDBC驱动由数据库厂商提供
8.2.3 JDBC编程模板
try {Class.forName(JDBC驱动类);# 1.加载JDBC驱动
} catch (ClassNotFoundException e) {//异常输出代码
} //… …
try {Connection con=DriverManager.getConnection(数据连接字符串,数据库用户名,密码);// 2.与数据库建立连接 Statement stmt = con.createStatement();ResultSet rs = stmt.executeQuery("SELECT a, b, c FROM table1;");// 3.发送SQL语句,并得到返回结果 while (rs.next()) {int x = rs.getInt("a");String s = rs.getString("b");float f = rs.getFloat("c");}// 4.处理返回结果 rs.close();stmt.close(); con.close();// 5.释放资源
} //… …
8.2.4 数据库连接字符串
jdbc:数据库://ip:端口/数据库名称[连接参数=参数值]
- 数据库:表示JDBC连接的目标数据库
- ip: 表示JDBC所连接的目标数据库地址,如果是本地数据库,可为localhost,即本地主机名
- 端口:连接数据库的端口号
- 数据库名称:是目标数据库的名称
- 连接参数:连接数据库时的参数配置
连接本地MySQL中hospital数据库
jdbc:mysql://localhost:3306/hospital?serverTimezone=GMT-8
// 我国处于东八区,时区设置为GMT-8
8.2.5 Connection 接口
Connection是数据库连接对象的类型
| 方法 | 作用 |
|---|---|
| Statement createStatement() | 创建一个Statement对象将SQL语句发送到数据库 |
| PreparedStatement prepareStatement(String sql) | 创建一个PreparedStatement对象,将参数化的SQL语句发送到数据库 |
| boolean isClosed() | 查询此Connection对象是否已经被关闭。如果已关闭,则返回true;否则返回false |
| void close() | 立即释放此Connection对象的数据库和JDBC资源 |
8.2.6 连接本地 hospital 数据库
package XaunZiShare;import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;import java.sql.*;public class HospitalConn {private static Logger logger = LogManager.getLogger(HospitalConn.class.getName());public static void main(String[] args) {Connection conn = null;// 1、加载驱动try {Class.forName("com.mysql.cj.jdbc.Driver");} catch (ClassNotFoundException e) {logger.error(e);}try {// 2、建立连接conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/hospital?serverTimezone=UTC","root", "root");System.out.println("数据库连接成功");} catch (SQLException e) {logger.error(e);} finally {// 3、关闭数据库连接try {if (null != conn) {conn.close();System.out.println("数据库连接断开");}} catch (SQLException e) {logger.error(e);}}}
}
8.2.7 常见异常
使用JDBC连接数据库时,经常出现的错误
- JDBC驱动类的名称书写错误,导致ClassNotFoundException异常
- 数据连接字符串、数据库用户名、密码错误,导致SQLException异常
- 数据库操作结束后,没有关闭数据库连接,导致仍旧占有系统资源
- 关闭数据库连接语句没有放到finally语句块中,导致语句可能没有被执行
8.3 Statement 操作数据库
Java执行数据库操作的一个重要接口,在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句
- Statement对象:执行不带参数的简单SQL语句
- PreparedStatement对象:执行带或不带In参数的预编译SQL语句
| 方法 | 作用 |
|---|---|
| ResultSet executeQuery(String sql) | 可以执行SQL查询并获取ResultSet对象 |
| int executeUpdate(String sql) | 可以执行插入、删除、更新的操作,返回值是执行该操作所影响的行数 |
| boolean execute(String sql) | 可以执行任意SQL语句。如果结果为 ResultSet 对象,则返回 true;如果其为更新计数或者不存在任何结果,则返回false |
使用 executeQuery() 和 executeUpdate() 方法都需要啊传入 SQL 语句,因此,需要在 Java 中通过字符串拼接获得 SQL 字符串
8.3.1 Java 的字符串操作
String类
- 字符串常量一旦声明则不可改变
- String类对象可以改变,但改变的是其内存地址的指向
- 使用“+”作为数据的连接操作
- 不适用频繁修改的字符串操作
StringBuffer类
- StringBuffer类对象能够被多次修改,且不产生新的未使用对象
- 使用append()方法进行数据连接
- 适用于字符串修改操作
- 是线程安全的,支持并发操作,适合多线程
如果使用StringBuffer 生成了 String 类型字符串,可以通过 toString( ) 方法将其转换为一个 String 对象
- 需要拼接的字符串
String patientName="李明";
String gender="男";
String birthDate="2010-09-03";
- 使用+拼接字符串
//使用+拼接字符串
String sql = "insert into patient (patientName,gender,birthDate) values('"+patientName+"','"+gender+"','"+birthDate+"');";
System.out.println(sql);
- 使用StringBuffer拼接字符串
//使用StringBuffer拼接字符串
StringBuffer sbSql = new StringBuffer("insert into patient (patientName,gender,birthDate)" +" values('");sbSql.append(patientName+"','");
sbSql.append(gender+"','");
sbSql.append(birthDate+"');");
sql = sbSql.toString();
System.out.println(sql);
- SQL语句中,字符
"和'是等效的- 但在Java代码中拼接字符串时使用字符
'会使代码更加清晰- 也不容易出错引号、逗号或括号等符号必须成对出现
- 可在控制台输出拼接后的字符串,检查SQL语句是否正确
8.3.1 Statement 插入数据
使用Statement接口执行插入数据的操作的方法
- executeUpdate()方法
- execute()方法
如果希望得到插入成功的数据行数,可以使用executeUpdate()方法;否则,使用execute()方法
实现步骤
- 声明Statement变量
- 创建Statement对象
- 构造SQL语句
- 执行数据插入操作
- 关闭Statement对象
- 关闭顺序是后创建的对象要先关闭释放资源
演示案例
使用JDBC,向hospital数据库病人表中添加一个新的病人记录关键代码
package XaunZiShare;import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;public class HospitalInsert {private static Logger logger = LogManager.getLogger(HospitalInsert.class.getName());public static void main(String[] args) {Connection conn = null;Statement stmt = null;String name = "张菲";// 姓名String gender = "女";// 性别String birthDate = "1995-02-12";// 出生日期String phoneNum = "13887676500";// 联系电话String email = "fei.zhang@qq.com";//邮箱String password = "909000";//密码String identityNum = "610000199502126100";//身份证号String address = "北京市";//地址// 1、加载驱动try {Class.forName("com.mysql.cj.jdbc.Driver");} catch (ClassNotFoundException e) {logger.error(e);}try {// 2、建立连接conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/hospital?serverTimezone=UTC", "root", "root");// 创建Statement对象stmt = conn.createStatement();//构造SQLStringBuffer sbSql = new StringBuffer("insert into patient (patientName,gender,birthDate,phoneNum,email,password,identityNum,address) values ( '");sbSql.append(name + "','");sbSql.append(gender + "','");sbSql.append(birthDate + "','");sbSql.append(phoneNum + "','");sbSql.append(email + "','");sbSql.append(password + "','");sbSql.append(identityNum + "','");sbSql.append(address + "');");System.out.println(sbSql.toString());//3、执行插入操作stmt.execute(sbSql.toString());} catch (SQLException e) {logger.error(e);} finally {// 4、关闭数据库连接try {if (null != stmt) {stmt.close();}if (null != conn) {conn.close();System.out.println("数据库连接断开");}} catch (SQLException e) {logger.error(e);}}}
}
为了避免可能出现的乱码问题,可将指定数据库连接的编码集为UTF8,多个参数间使用字符&进行分隔
jdbc:mysql://localhost:3306/hospital?serverTimezone=GMT-8&useUnicode=true&characterEncoding=utf-8
8.3.2 Statement 更新数据
- 使用executeUpdate()方法或execute()方法实现更新数据的操作
- 使用Statement接口更新数据库中的数据的步骤与插入数据类似
实现步骤
- 声明Statement变量
- 创建Statement对象
- 构造SQL语句
- 执行数据更新操作
- 关闭Statement对象
需关注拼接的SQL字符串,以避免出错
演示案例
使用JDBC,将hospital数据库中patientID为13的病人电话更新为13627395833
package XaunZiShare;import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;public class HospitalUpdate {private static Logger logger = LogManager.getLogger(HospitalUpdate.class.getName());public static void main(String[] args) {Connection conn = null;Statement stmt = null;int patientID = 13;// 病人编号String phoneNum = "13627395833";// 联系电话// 1、加载驱动try {Class.forName("com.mysql.cj.jdbc.Driver");} catch (ClassNotFoundException e) {logger.error(e);}try {// 2、建立连接conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/hospital?serverTimezone=UTC", "root", "root");// 创建Statement对象stmt = conn.createStatement();//构造SQLStringBuffer sbSql = new StringBuffer("update patient ");sbSql.append("set phoneNum='" + phoneNum + "' ");sbSql.append("where patientID=" + patientID + ";");System.out.println(sbSql.toString());//3、执行插入更新操作int effectRowNum = stmt.executeUpdate(sbSql.toString());System.out.println("更新数据的行数:" + effectRowNum);} catch (SQLException e) {logger.error(e);} finally {// 4、关闭数据库连接try {if (null != stmt) {stmt.close();}if (null != conn) {conn.close();System.out.println("数据库连接断开");}} catch (SQLException e) {logger.error(e);}}}
}8.3.3 ResultSet 接口
保存和处理Statement执行后所产生的查询结果
- 由查询结果组成的一个二维表
- 每行代表一条记录
- 每列代表一个字段
| 方法 | 说明 |
|---|---|
| boolean next() | 将游标从当前位置向下移动一行 |
| void close() | 关闭ResultSet 对象 |
| int getInt(int colIndex) | 以int形式获取结果集当前行指定列号值 |
| int getInt(String colLabel) | 以int形式获取结果集当前行指定列名值 |
| float getFloat(int colIndex) | 以float形式获取结果集当前行指定列号值 |
| float getFloat(String colLabel) | 以float形式获取结果集当前行指定列名值 |
| String getString(int colIndex) | 以String形式获取结果集当前行指定列号值 |
| String getString(String colLabel) | 以String形式获取结果集当前行指定列名值 |
- 要从中获取数据的列号或列名可作为方法的参数
- 根据值的类型选择对应的方法
ResultSet 接口 getXxx() 方法
- 获取当前行中某列的值
- 要从中获取数据的列号或列名可作为方法的参数
- 根据值的类型选择对应的方法
int类型 -> getInt()
float类型 -> getFloat()
String类型 -> getString()
假设结果集的第一列为patientID,存储类型为int类型,能够获得该列值的两种方法
//使用列号提取数据
int id = rs.getInt(1);
//使用列名提取数据
int id = rs.getInt("patientID");
- 列号从1开始计数,与数组下标从0开始计数不同
- 采用列名来标识列可读性强,且不容易出错
8.3.4 Statement 和 ResultSet 查询数据
使用 JDBC 从 hospital 数据库中查询前3个病人的编号、姓名、性别、住址信息并输出到控制台上
package XaunZiShare;import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;import java.sql.*;public class HospitalQuery {private static Logger logger = LogManager.getLogger(HospitalQuery.class.getName());public static void main(String[] args) {Connection conn = null;Statement stmt = null;ResultSet rs = null;int patientID = 13;// 病人编号String phoneNum = "13627395833";// 联系电话// 1、加载驱动try {Class.forName("com.mysql.cj.jdbc.Driver");} catch (ClassNotFoundException e) {logger.error(e);}try {// 2、建立连接conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/hospital?serverTimezone=UTC", "root", "root");System.out.println("建立连接成功 !");// 创建Statement对象stmt = conn.createStatement();//构造SQLString sql = "select patientID,patientName,gender,address from patient limit 3;";//3、执行查询更新操作rs = stmt.executeQuery(sql);//4、移动指针遍历结果集并输出查询结果while (rs.next()) {System.out.println(rs.getInt("patientID") + "\t" +rs.getString("patientName") + "\t" +rs.getString("gender") + "\t" +rs.getString("address"));}} catch (SQLException e) {logger.error(e);} finally {// 5、关闭数据库连接try {if (null != rs) {rs.close();}if (null != stmt) {stmt.close();}if (null != conn) {conn.close();System.out.println("数据库连接断开");}} catch (SQLException e) {logger.error(e);}}}
}
8.4 PreparedStatement 操作数据库
8.4.1 SQL 注入攻击
通过提交一段SQL代码,执行超出用户访问权限的数据操作称为SQL注入(SQL Injection),SQL注入攻击是应用安全领域的一种常见攻击方式,会造成的数据库安全风险包括:刷库、拖库和撞库等,主要是没有对用户输入数据的合法性进行判断,导致应用程序存在安全隐患
使用JDBC实现医院管理系统用户登录验证功能
package XaunZiShare;import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;import java.sql.*;
import java.util.Scanner;public class HospitalLogin {private static Logger logger = LogManager.getLogger(HospitalLogin.class.getName());public static void main(String[] args) {Connection conn = null;Statement stmt = null;ResultSet rs = null;//根据控制台提示输入用户身份证号和密码Scanner input = new Scanner(System.in);System.out.println("用户登录");System.out.print("请输入身份证号:");String identityNum = input.next();System.out.print("请输入密码:");String password = input.next();// 1、加载驱动try {Class.forName("com.mysql.cj.jdbc.Driver");} catch (ClassNotFoundException e) {logger.error(e);}try {// 2、建立连接conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/hospital?serverTimezone=UTC", "root", "123456");// 创建Statement对象stmt = conn.createStatement();//构造SQLStringBuffer sbSql = new StringBuffer("SELECT patientName FROM patient WHERE ");sbSql.append("password='" + password + "'");sbSql.append(" and identityNum='" + identityNum + "';");//3、执行查询更新操作rs = stmt.executeQuery(sbSql.toString());System.out.println(sbSql.toString());//4、验证用户名和密码if (rs.next()) {System.out.println("欢迎" + rs.getString("patientName") + "登录系统!");} else {System.out.println("密码错误!");}} catch (SQLException e) {logger.error(e);} finally {// 5、关闭数据库连接try {if (null != rs) {rs.close();}if (null != stmt) {stmt.close();}if (null != conn) {conn.close();}} catch (SQLException e) {logger.error(e);}}}
}
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-q7QwIOIY-1680668171434)(./assets/%E6%90%9C%E7%8B%97%E6%88%AA%E5%9B%BE20230404172438.png)]
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XJPm8kaF-1680668171437)(./assets/%E6%90%9C%E7%8B%97%E6%88%AA%E5%9B%BE20230404172502.png)]
修改查询结构
8.4.2 PreparedStatement 接口
使用PreparedStatement 接口
- 继承自 Statement接口
- 与Statement对象相比,使用更加灵活,更有效率
PreparedStatement接口 (预编译的 SQL 语句)
-
提高代码可读性和可维护性
-
提高安全性
-
提高SQL语句执行的性能
| 方 法 | 作 用 |
|---|---|
| boolean execute() | 执行SQL语句,可以是任何SQL语句。如果结果是Result对象,则返回true。如果结果是更新计数或没有结果,则返回false |
| ResultSet executeQuery() | 执行SQL查询,返回该查询生成的ResultSet对象 |
| int executeUpdate() | 执行SQL语句,该语句必须是一个DML语句,比如:INSERT、UPDATE或DELETE语句;或者是无返回内容的SQL语句,比如DDL语句。返回值是执行该操作所影响的行数 |
| void setXxx(int index,xxx x) | 方法名Xxx和第二个参数的xxx均表示(如int,float,double等)基本数据类型,且两个类型需一致,参数列表中的x表示方法的形式参数。把指定数据类型(xxx)的值x设置给index位置的参数。根据参数类型的不同,常见方法有:setInt(int index,int x) 、setFloat(int index,float x)、setDouble(int index,double x)等 |
| void setObject(int index,Object x) | 除基本数据类型外,参数类型也可以是Object,可以将Object对象x设置给index位置的参数 |
8.4.3 PreparedStatement 操作数据
创建PreparedStatement对象
- 使用Connection接口prepareStatement(String sql)方法创建PreparedStatement对象
- 需要提前设置该对象将要执行的SQL语句
- SQL语句可具有一个或多个输入参数
设置输入参数的值
- 调用setXxx()方法完成参数赋值
执行SQL语句
- 调用PreparedStatement接口
- executeQuery()
- executeUpdate()
- execute()
- 方法执行SQL语句
验证用户输入的身份证号和密码
- 如果通过验证,则输出“欢迎[姓名]登录系统!”的信息;
- 否则输出“密码错误!”
package XaunZiShare;import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;import java.sql.*;
import java.util.Scanner;public class HospitalLogin {private static Logger logger = LogManager.getLogger(HospitalLogin.class.getName());public static void main(String[] args) {Connection conn = null;PreparedStatement pstmt = null;ResultSet rs = null;//根据控制台提示输入用户身份证号和密码Scanner input = new Scanner(System.in);System.out.println("用户登录");System.out.print("请输入身份证号:");String identityNum = input.next();System.out.print("请输入密码:");String password = input.next();// 1、加载驱动try {Class.forName("com.mysql.cj.jdbc.Driver");} catch (ClassNotFoundException e) {logger.error(e);}try {// 2、建立连接conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/hospital?serverTimezone=UTC", "root", "123456");//3、构造PreparedStatement对象pstmt = conn.prepareStatement("SELECT patientName FROM patient WHERE identityNum=? and password=?");pstmt.setString(1, identityNum);pstmt.setString(2, password);rs = pstmt.executeQuery();//4、验证用户名和密码if (rs.next()) {System.out.println("欢迎" + rs.getString("patientName") + "登录系统!");} else {System.out.println("密码错误!");}} catch (SQLException e) {logger.error(e);} finally {// 5、关闭数据库连接try {if (null != rs) {rs.close();}if (null != pstmt) {pstmt.close();}if (null != conn) {conn.close();}} catch (SQLException e) {logger.error(e);}}}
}
8.4.4 PreparedStatement 的优势
实际开发中,推荐使用PreparedStatement接口执行数据库操作
- PreparedStatement与Statement接口相比,具有的优势
- 可读性和可维护性高
- SQL语句执行性能高
- 安全性更高