在JDBC——什么是JDBC一文中我们已经介绍了JDBC的基本原理。
这篇文章我们聊聊如何使用JDBC连接MySQL数据库。
一、基本操作
首先我们需要一个数据库和一张表:
CREATE DATABASE `test`;
USE `test`;
CREATE TABLE `user` (
`id` INT(10) NOT NULL PRIMARY KEY AUTO_INCREMENT,
`username` VARCHAR(20) NOT NULL,
`password` VARCHAR(20) NOT NULL
);
然后我们导入驱动jar包mysql-connector-java-8.0.20.jar 导入jar包或者使用maven依赖:
至于如何导入jar包或者使用maven依赖,这里不做赘述。
基本步骤:
- 注册驱动
- 获取连接对象
- 创建SQL语句
- 创建执行SQL语句的Statement对象
- 执行SQL语句
- 释放资源
1. 增、删、改
public static void main(String[] args) {
Connection conn = null;
Statement stmt = null;
try {
//注册驱动
Class.forName("com.mysql.cj.jdbc.Driver");
//获取连接对象
conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=Asia/Shanghai&useSSL=false", "root", "123456");
//创建SQL语句
String sql = "insert into user values (null, '行小观', '1234')";
//创建Statement对象
stmt = conn.createStatement();
//执行SQL语句
int i = stmt.executeUpdate(sql);
System.out.println(i);
} catch (SQLException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
} finally {
if (stmt != null) {//避免空指针异常
try {
stmt.close();//释放资源
} catch (SQLException e) {
e.printStackTrace();
}
}
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
DML语句的代码相同
2. 查询
public static void main(String[] args) {
Connection conn = null;
Statement stmt = null;
ResultSet rs = null;
try {
//注册驱动
Class.forName("com.mysql.cj.jdbc.Driver");
//获取连接对象
conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=Asia/Shanghai&useSSL=false", "root", "123456");
//创建SQL语句
String username = "行小观";
String password = "1234";
String sql = "select * from user where username = '" + username + "' and password = '" + password + "'";//拼接字符串
//创建Statement对象
stmt = conn.createStatement();
//执行SQL语句
rs = stmt.executeQuery(sql);
while (rs.next()) {
int id = rs.getInt("id");
String name = rs.getString("name");
float money = rs.getFloat("money");
System.out.println(id + "--" + name + "--" + money);
}
} catch (SQLException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
} finally {
if (rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (stmt != null) {//避免空指针异常
try {
stmt.close();//释放资源
} catch (SQLException e) {
e.printStackTrace();
}
}
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
二、类的解释
1. DriverManager
(1) 通过DriverManager注册驱动
Class.forName("com.mysql.cj.jdbc.Driver")将Driver类加载进内存。
我们翻看Driver类的源码发现静态代码块:
static {
try {
DriverManager.registerDriver(new Driver());
} catch (SQLException var1) {
throw new RuntimeException("Can't register driver!");
}
}
该静态代码块随着类被加载而执行,一旦执行,便通过DriverManager.registerDriver(new Driver())注册驱动。
(2) 通过DriverManager获取Connection对象
DriverManager.getConnection(url, username, password)
我们只需提供三个参数:数据库的url,用户名,密码。
注意:url中需要加时区。
2. Connection
conn.createStatement()
通过Connection对象创建Statement对象
3. Statement
该对象能够执行静态SQL语句并返回执行结果。
4. ResultSet
表示数据库结果集的数据表,通常由执行查询数据库的语句生成。
可以使用next()方法遍历结果集
三、SQL注入
上面的例子中有一个很严重的问题就是我们写的SQL语句都是静态的,换句话说,就是SQL语句是使用字符串拼接起来的。比如说:
String username = "行小观";
String password = "1234";
String sql = "select * from user where username = '" + username + "' and password = '" + password + "'";
我们将变量代入后的效果是:
select * from user where username = '行小观' and password = '1234'
这样执行是没问题的。
但是现在情况变了:
String username = "行小观";
String password = "1' or '1' = '1";
我们将变量代入后的效果是:
select * from user where username = '行小观' and password = '1' or '1' = '1'
因为or '1'='1'的原因,导致SQL语句的where子句为true,等价于
select * from user
所以会将整张表给查询出来。
以上便是SQL注入。
四、使用PreparedStatement防止SQL注入
使用Statement对象执行静态SQL语句,如果执行了特殊构造的语句,会导致SQL注入,出现安全漏洞。
使用PreparedStatement对象能避免上述问题。
PreparedStatement对象是预编译的SQL语句的对象,继承自Statement。
什么是预编译的SQL语句?
静态SQL语句
String sql = "select * from user where username = '" + username + "' and password = ' " + password + "'";
改为预编译的SQL语句:
String sql = "select * from user where username = ? and password = ? ";
编写SQL语句时,不使用字符串进行拼接,而是使用问号?占位符代替变量。
使用JDBC的步骤有所变化:
- 注册驱动
- 获取连接对象
- 创建SQL语句
- 创建执行SQL语句的PreparedStatement对象
- 给?赋值
- 执行SQL语句
- 释放资源
public static void main(String[] args) {
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try {
//注册驱动
Class.forName("com.mysql.cj.jdbc.Driver");
//获取连接对象
conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=Asia/Shanghai&useSSL=false", "root", "123456");
//创建SQL语句
String username = "行小观";
String password = "1234";
String sql = "select * from user where username = ? and password = ?";
//创建PreparedStatement对象
pstmt = conn.prepareStatement(sql);
//给?赋值
pstmt.setString(1, username);
pstmt.setString(2, password);
//执行SQL语句
rs = pstmt.executeQuery();
while (rs.next()) {
int id = rs.getInt("id");
String unm = rs.getString("username");
String pwd = rs.getString("password");
System.out.println(id + "--"+ unm + "--" + pwd);
}
} catch (SQLException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
} finally {
if (rs != null) {
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if (pstmt != null) {//避免空指针异常
try {
pstmt.close();//释放资源
} catch (SQLException e) {
e.printStackTrace();
}
}
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
五、进一步封装
上面的例子,有几点缺点:
- 有大量重复代码。
- 驱动类的全限定类名、数据库的url、username、password写在代码中,如果更改这些值还需要修改代码。
首先我们将Driver的全限定类名、数据库的信息写在配置文件database.properties中,通过读取配置文件获取这些值,当我们需要更改信息时,不用修改代码,直接在配置文件中修改信息即可。
driver=com.mysql.cj.jdbc.Driver
url=jdbc:mysql://localhost:3306/test?serverTimezone=Asia/Shanghai&useSSL=false
username=root
password=123456
然后我们将注册驱动类、获取连接、释放资源这些操作封装到工具类JdbcUtil中。
public class JdbcUtil {
private static String driver;
private static String url;
private static String username;
private static String password;
static {
try {
Properties pro = new Properties();
ClassLoader classLoader = JdbcUtil.class.getClassLoader();
URL resourceURL = classLoader.getResource("database.properties");
String path = resourceURL.getPath();
pro.load(new FileReader(path));
driver = pro.getProperty("driver");
url = pro.getProperty("url");
username = pro.getProperty("username");
password = pro.getProperty("password");
Class.forName(driver);
} catch (IOException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}
public static Connection getConnection() {
try {
return DriverManager.getConnection(url, username, password);
} catch (SQLException e) {
e.printStackTrace();
}
return null;
}
public static void close(Statement stmt, Connection conn) {
if (stmt != null) {//避免空指针异常
try {
stmt.close();//释放资源
} catch (SQLException e) {
e.printStackTrace();
}
}
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
public static void close(ResultSet rs, Statement stmt, Connection conn) {
close(stmt, conn);
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
我们再使用JDBC时,就可以使用工具类简化代码了。
public static void main(String[] args) {
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try {
//获取连接
conn = JdbcUtil.getConnection();
//创建SQL语句
String username = "行小观";
String password = "1234";
String sql = "select * from user where username = ? and password = ?";
//创建PreparedStatement对象
pstmt = conn.prepareStatement(sql);
//给?赋值
pstmt.setString(1, username);
pstmt.setString(2, password);
//执行SQL语句
rs = pstmt.executeQuery();
while (rs.next()) {
int id = rs.getInt("id");
String unm = rs.getString("username");
String pwd = rs.getString("password");
System.out.println(id + "--"+ unm + "--" + pwd);
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
JdbcUtil.close(rs, pstmt, conn);
}
}
如有错误,还请指正
文章首发于公众号『行人观学』。