参考来自:http://www.runoob.com/w3cnote/jdbc-use-guide.html

1.jdbc的执行流程

JDBC API 允许用户访问任何形式的表格数据,尤其是存储在关系数据库中的数据。

执行流程:

  • 连接数据源,如:数据库。

  • 为数据库传递查询和更新指令。

  • 处理数据库响应并返回的结果。

2.jdbc的编程步骤

2.1 加载驱动程序

Class.forName(driverClass)

//加载MySql驱动

Class.forName("com.mysql.jdbc.Driver")

//加载Oracle驱动

Class.forName("oracle.jdbc.driver.OracleDriver")

2.2 获得数据库连接

DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/imooc", "root", "root");

2.3 创建Statement\PreparedStatement对象

conn.createStatement();

conn.prepareStatement(sql);

2.4 执行操作

 import java.sql.Connection;

 import java.sql.DriverManager;

 import java.sql.ResultSet;

 import java.sql.Statement;

 public class DbUtil {

     public static final String URL = "jdbc:mysql://localhost:3306/imooc";

     public static final String USER = "liulx";

     public static final String PASSWORD = "123456";

     public static void main(String[] args) throws Exception {

         //1.加载驱动程序

         Class.forName("com.mysql.jdbc.Driver");

         //2. 获得数据库连接

         Connection conn = DriverManager.getConnection(URL, USER, PASSWORD);

         //3.操作数据库,实现增删改查

         Statement stmt = conn.createStatement();

         ResultSet rs = stmt.executeQuery("SELECT user_name, age FROM imooc_goddess");

         //如果有数据,rs.next()返回true

         while(rs.next()){

             System.out.println(rs.getString("user_name")+" 年龄:"+rs.getInt("age"));

         }

     }

 }

3.完整示例

 public class DbUtil {

     public static final String URL = "jdbc:mysql://localhost:3306/imooc";

     public static final String USER = "liulx";

     public static final String PASSWORD = "123456";

     private static Connection conn = null;

     static{

         try {

             //1.加载驱动程序

             Class.forName("com.mysql.jdbc.Driver");

             //2. 获得数据库连接

             conn = DriverManager.getConnection(URL, USER, PASSWORD);

         } catch (ClassNotFoundException e) {

             e.printStackTrace();

         } catch (SQLException e) {

             e.printStackTrace();

         }

     }

     public static Connection getConnection(){

         return conn;

     }

 }
 package liulx.dao;

 import liulx.db.DbUtil;

 import liulx.model.Goddess;

 import java.sql.Connection;

 import java.sql.ResultSet;

 import java.sql.SQLException;

 import java.sql.Statement;

 import java.util.ArrayList;

 import java.util.List;

 public class GoddessDao {

     //增加

     public void addGoddess(Goddess g) throws SQLException {

         //获取连接

         Connection conn = DbUtil.getConnection();

         //sql

         String sql = "INSERT INTO imooc_goddess(user_name, sex, age, birthday, email, mobile,"+

             "create_user, create_date, update_user, update_date, isdel)"

                 +"values("+"?,?,?,?,?,?,?,CURRENT_DATE(),?,CURRENT_DATE(),?)";

         //预编译

         PreparedStatement ptmt = conn.prepareStatement(sql); //预编译SQL,减少sql执行

         //传参

         ptmt.setString(1, g.getUser_name());

         ptmt.setInt(2, g.getSex());

         ptmt.setInt(3, g.getAge());

         ptmt.setDate(4, new Date(g.getBirthday().getTime()));

         ptmt.setString(5, g.getEmail());

         ptmt.setString(6, g.getMobile());

         ptmt.setString(7, g.getCreate_user());

         ptmt.setString(8, g.getUpdate_user());

         ptmt.setInt(9, g.getIsDel());

         //执行

         ptmt.execute();

     }

     public void updateGoddess(){

         //获取连接

         Connection conn = DbUtil.getConnection();

         //sql, 每行加空格

         String sql = "UPDATE imooc_goddess" +

                 " set user_name=?, sex=?, age=?, birthday=?, email=?, mobile=?,"+

                 " update_user=?, update_date=CURRENT_DATE(), isdel=? "+

                 " where id=?";

         //预编译

         PreparedStatement ptmt = conn.prepareStatement(sql); //预编译SQL,减少sql执行

         //传参

         ptmt.setString(1, g.getUser_name());

         ptmt.setInt(2, g.getSex());

         ptmt.setInt(3, g.getAge());

         ptmt.setDate(4, new Date(g.getBirthday().getTime()));

         ptmt.setString(5, g.getEmail());

         ptmt.setString(6, g.getMobile());

         ptmt.setString(7, g.getUpdate_user());

         ptmt.setInt(8, g.getIsDel());

         ptmt.setInt(9, g.getId());

         //执行

         ptmt.execute();

     }

     public void delGoddess(){

         //获取连接

         Connection conn = DbUtil.getConnection();

         //sql, 每行加空格

         String sql = "delete from imooc_goddess where id=?";

         //预编译SQL,减少sql执行

         PreparedStatement ptmt = conn.prepareStatement(sql);

         //传参

         ptmt.setInt(1, id);

         //执行

         ptmt.execute();

     }

     //批量查询

     public List<Goddess> query() throws SQLException {

         Connection conn = DbUtil.getConnection();

         Statement stmt = conn.createStatement();  ??? PreparedStatement和statement的区别是什么???见下面(ps:这里不需要参数,可以直接用statement)。

         ResultSet rs = stmt.executeQuery("SELECT user_name, age FROM imooc_goddess");

         List<Goddess> gs = new ArrayList<Goddess>();

         Goddess g = null;

         while(rs.next()){

             g = new Goddess();

             g.setUser_name(rs.getString("user_name"));

             g.setAge(rs.getInt("age"));

             gs.add(g);

         }

         return gs;

     }

     //单个查询

     public Goddess querySingle(){

         Goddess g = null;

         //获取连接

         Connection conn = DbUtil.getConnection();

         //sql, 每行加空格

         String sql = "select * from  imooc_goddess where id=?";

         //预编译SQL,减少sql执行

         PreparedStatement ptmt = conn.prepareStatement(sql);??? PreparedStatement和statement的区别是什么???见下面。

         //传参

         ptmt.setInt(1, id);

         //执行

         ResultSet rs = ptmt.executeQuery();

         while(rs.next()){

             g = new Goddess();

             g.setId(rs.getInt("id"));

             g.setUser_name(rs.getString("user_name"));

             g.setAge(rs.getInt("age"));

             g.setSex(rs.getInt("sex"));

             g.setBirthday(rs.getDate("birthday"));

             g.setEmail(rs.getString("email"));

             g.setMobile(rs.getString("mobile"));

             g.setCreate_date(rs.getDate("create_date"));

             g.setCreate_user(rs.getString("create_user"));

             g.setUpdate_date(rs.getDate("update_date"));

             g.setUpdate_user(rs.getString("update_user"));

             g.setIsDel(rs.getInt("isdel"));

         }

         return g;

     }

 }

4.PreparedStatement和statement的区别是什么

参考来自:http://www.importnew.com/5006.html

PreparedStatement是用来执行SQL查询语句的API之一。

Java提供了 StatementPreparedStatement 和 CallableStatement三种方式来执行查询语句:

Statement 用于通用查询

PreparedStatement 用于执行参数化查询

CallableStatement则是用于存储过程

有几个面试常用的问题:

 Statement与PreparedStatement的区别?

 为什么要用PreparedStatement?

 使用PreparedStatement有什么样的优势?

 PreparedStatement又是如何避免SQL注入攻击的?

4.1 Statement与PreparedStatement的区别

前面已经提过,Statement执行通用化查询,PreparedStatement执行参数化查询。

 conn.createStatement();

 conn.prepareStatement(sql);

4.2 用PreparedStatement的优势

使用PreparedStatement,数据库系统会对sql语句进行预编译处理(如果JDBC驱动支持的话),预处理语句将被预先编译好,这条预编译的sql查询语句能在将来的查询中重用,这样一来,它比Statement对象生成的查询速度更快。

同时,它还可以防止SQL注入式攻击。

4.3 PreparedStatement如何避免SQL注入攻击

在SQL注入攻击里,恶意用户通过SQL元数据绑定输入,比如:某个网站的登录验证SQL查询代码为:

strSQL = "SELECT * FROM users WHERE name = '" + userName + "' and pw = '"+ passWord +"';"

恶意填入:

userName = "1' OR '1'='1";

passWord = "1' OR '1'='1";

那么sql语句就变成了:

strSQL = "SELECT * FROM users WHERE name = '' OR ''='' and pw = '' OR ''='';"

即:(因此可以无账号密码直接登录。)

strSQL = "SELECT * FROM users;"

然而使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库系统(eg:MySQL)不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。

4.4 PreparedStatement的局限

为了防止SQL注入攻击,PreparedStatement不允许一个占位符(?)有多个值,在执行有**IN**子句查询的时候这个问题变得棘手起来。下面这个SQL查询使用PreparedStatement就不会返回任何结果:

SELECT * FROM loan WHERE loan_type IN (?)
preparedSatement.setString(1, "'personal loan', 'home loan', 'gold loan'");

如何解决呢?作者写在下篇博客里???下篇博客在哪???

4.5 PreparedStatement总结

当然可以使用Statement对象用来做做测试。但是在生产环境下一定要考虑使用 PreparedStatement 。

1. PreparedStatement可以写参数化查询,比Statement能获得更好的性能。

2. 对于PreparedStatement来说,数据库可以使用已经编译过及定义好的执行计划,这种预处理语句查询比普通的查询运行速度更快

3. PreparedStatement可以阻止常见的SQL注入式攻击

4. PreparedStatement可以写动态查询语句

5. “?” 叫做占位符。

7. PreparedStatement查询默认返回FORWARD_ONLY的ResultSet,你只能往一个方向移动结果集的游标。当然你还可以设定为其他类型的值如:”CONCUR_READ_ONLY”。

8. 不支持预编译SQL查询的JDBC驱动,在调用connection.prepareStatement(sql)的时候,它不会把SQL查询语句发送给数据库做预处理,
  而是等到执行查询动作的时候(调用executeQuery()方法时)才把查询语句发送个数据库,这种情况和使用Statement是一样的。

9. 占位符的索引位置从1开始而不是0,如果填入0会导致*java.sql.SQLException invalid column index*异常。
   所以如果PreparedStatement有两个占位符,那么第一个参数的索引时1,第二个参数的索引是2.

2017.6.27 jdbc基本使用的更多相关文章

  1. 团队作业4——第一次项目冲刺(Alpha版本)2017.4.27

    2017.04.27 天气阴沉 小雨. 时间:上午 9:35 ---10:10分 地点:陆大314实验室 会议内容:每天充分利用好大课间的时间,今天对昨天的的细节问题进行了讨论及方法更正.时间不等人这 ...

  2. Spring+SpringMVC+Mybaties整合之配置文件如何配置及内容解释--可直接拷贝使用--不定时更改之2017/4/27

    以下配置可直接使用,只需更改包名. 关于内部标签的解释及用法,都以注解形式在代码内部说明.个人原创,转载需注明出处. 1,web.xml.添加jar包后首先需要配置WEB-INF下的web.xml文件 ...

  3. 2017.10.3 JDBC访问数据库的建立过程

    1·JDBC访问数据库,其访问流程: (1)注册驱动 (2)建立连接(Connection) (3)创建数据库操作对象用于执行SQL语句 (4)执行语句 (5)处理执行结果 (6)释放资源 2·注册驱 ...

  4. 2017.10.1 JDBC数据库访问技术

    4.1 JDBC技术简介 4.1.1 定义 JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的 java API,由一组类与接口组成,通过 ...

  5. 2017.6.27 跟开涛学spring3--spring概述

    参考来自:http://www.importnew.com/17474.html 注意,项目中使用的是spring4,这里学习的是spring3.关于spring4的变化:http://ningand ...

  6. 2017.5.27 使用propagation实现:根据参数决定是否需要事务管理

    1.功能描述 要实现rest接口:POST ***/entry,其中参数中有action参数. 当action=rollback时,批量新增出错时需要回滚. 当action!=rollback时,批量 ...

  7. [软件工程基础]2017.10.27 第二次 Scrum 会议

    决议 周六前项目交接 Milestone 完成 周六集体开发 游心整理物理网站上的实验流程和绪论复习题 石奇川上线静态版实验流程和绪论复习题库 李煦通构思后端如何实现绪论题库,包括和用户记录的关联方式 ...

  8. Work 1(导游类)(2017.06.27)

  9. SNS团队第六次站立会议(2017.04.27)

    一.当天站立式会议照片 本次会议主要内容:汇报工作进度,根据完成情况调整进度 二.每个人的工作 成员 今天已完成的工作 明天计划完成的工作 罗于婕 导入相关词库数据  研究如何存取语音.图片文件 龚晓 ...

随机推荐

  1. 熊猫(i)

    题目描述 熊猫喜欢吃数,熊猫对与每个数都有他独特的评价.具体来说,熊猫对数 xx 的评价是个四元组 (a, b, c, d)(a,b,c,d),计算方式如下: 首先将 xx 写成二进制形式(不含前导零 ...

  2. [ CodeVS冲杯之路 ] P1068

    不充钱,你怎么AC? 题目:http://codevs.cn/problem/1068/ 这是一道神DP题,一开始状态设计错了,用位置和剩余卡片做下标,过了样例数据WA了 好了,讲正解,设 f[i][ ...

  3. Linux内核实践之tasklet机制【转】

    转自:http://blog.csdn.net/bullbat/article/details/7423321 版权声明:本文为博主原创文章,未经博主允许不得转载. 作者:bullbat 源代码分析与 ...

  4. 多线程之:ThreadLocal

    Java中ThreadLocal类可以使创建的变量只被同一个线程进行读和写操作,即使有多个线程同时执行同一段代码,并且这段代码中又有一个指向同一个ThreadLocal变量的引用,这些线程依然不能看到 ...

  5. django视图重定向

    # 原创,转载请留言联系 当请求访问到某个视图时,我们想让它重定向到其他页面,应该怎么做呢? 1.HttpResponseRedirect 需求:当我们访问127.0.0.1/my_redirect时 ...

  6. 程序员面试京东前端,现场JavaScript代码写出魔方特效

    程序员面试京东前端,现场JS代码写出魔方特效,成功搞定20K月薪 今天小编我逛论坛,看到了一位程序员小伙子,因为是有了两年工作经验,然后去京东面试前端岗,一面二面轻松就过了,到了技术面这一块,小伙干脆 ...

  7. JDK7集合框架源码阅读(五) Hashtable

    基于版本jdk1.7.0_80 java.util.Hashtable 代码如下 /* * Copyright (c) 1994, 2011, Oracle and/or its affiliates ...

  8. 51nod 算法马拉松 34 Problem D 区间求和2 (FFT加速卷积)

    题目链接  51nod 算法马拉松 34  Problem D 在这个题中$2$这个质数比较特殊,所以我们先特判$2$的情况,然后仅考虑大于等于$3$的奇数即可. 首先考虑任意一个点对$(i, j)$ ...

  9. ==与equals()区别

    equals和==的区别? 经常被简单的理解为equals方法用来比较两个对象是否相同, 而==比较运算符用来比较两个基本数据类型的数值是否相同. 这样的理解无可厚非,但还要透过简单看看本质,才会更清 ...

  10. postgres表空间、模式、表和用户/角色之间的关系

    一. 角色(role)和用户(user)   1. role      postgres=# create role kanon password 'kanon';         #使用role创建 ...