百战程序员——JDBC

1. JDBC全称是什么?
   • JDBC（Java DataBase Connectivity,java数据库连接）是一种用于执行SQL语句的Java API，可以为多种关系数据库提供统一访问，它由一组用Java语言编写的类和接口组成。JDBC提供了一种基准，据此可以构建更高级的工具和接口，使数据库开发人员能够编写数据库应用程序，同时，JDBC也是个商标名。
2. 请详细说明JDBC技术主要用于处理什么问题，有什么好处？
   • 　　简单地说，JDBC 可做三件事：与数据库建立连接、发送 操作数据库的语句并处理结果。
   • 　　JDBC 是个"低级"接口，也就是说，它用于直接调用 SQL 命令。在这方面它的功能极佳，并比其它的数据库连接 API 易于使用，但它同时也被设计为一种基础接口，在它之上可以建立高级接口和工具。高级接口是"对用户友好的"接口，它使用的是一种更易理解和更为方便的 API，这种API在幕后被转换为诸如 JDBC 这样的低级接口。
3. Class.forName("Oracle.jdbc.driver.OracleDriver"); 的作用是什么，并简述其底
           层原理
   • 　　

     Class.forName()的作用是返回一个带有给定字符的类或接口相关联的Class对象、加载这个类、同时执行该类的静态代码块。
     使用new同样可以达到加载数据库驱动的目的，而使用类加载机制是为了提高代码的可重用性。
     软件开发的业务类通常面向接口BusinessInterface编程。各项目根据业务不同实现不同的接口实现类，接口实现类被配置在XML文件中。这样开发了新的接口实现类，只需要修改配置文件，而无需更改代码，实现了代码的可重用性。

     JDBC规范要求Driver类在使用前必须向DriverManger注册自己。注册过程在Driver类的静态类已经实现。也就是说只要类被加载，就完成了向驱动管理器的注册。
     ---------------------
     原文：https://blog.csdn.net/huscker/article/details/53080489

4. JDBC中执行DML语句时，一般使用哪个方法较好：execute、executeQuery，
           executeUpdate。并说出这几个方法的区别。
   • 　　JDBC中Statement 接口提供了三种执行 SQL 语句的方法：

     executeQuery
     executeUpdate 
     execute

     使用哪一个方法由 SQL 语句所产生的内容决定。

     1>方法executeQuery 
     用于产生单个结果集（ResultSet）的语句，例如:被执行最多的SELECT 语句。 
     这个方法被用来执行 SELECT 语句，但也只能执行查询语句，执行后返回代表查询结果的ResultSet对象。例如：

     [java] view plain copy

      

      

      

     1. Class.forName("com.mysql.jdbc.Driver");
     2. //加载数据库驱动
     3. Connection  conn = null;
     4. conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test",
     5. "root","1234");
     6. //使用DriverManager获取数据库连接
     7. Statement  stmt = conn.createStatement();
     8. //使用Connection来创建一个Statment对象
     9. ResultSet rs =stmt.executeQuery("select * from teacher");
     10. //执行查询语句并且保存结果
     11. while (rs.next()){
     12. System.out.println(rs.getInt(1) + "/t" +    rs.getString(2));
     13. }
     14. //把查询结果输出来

     2>方法executeUpdate
     用于执行 INSERT、UPDATE 或 DELETE 语句以及 SQL DDL（数据定义语言）语句，例如 CREATE TABLE 和 DROP TABLE。
     INSERT、UPDATE 或 DELETE 语句的效果是修改表中零行或多行中的一列或多列。
     executeUpdate 的返回值是一个整数（int），指示受影响的行数（即更新计数）。
     对于 CREATE TABLE 或 DROP TABLE 等不操作行的语句，executeUpdate 的返回值总为零。例如：

     [java] view plain copy

      

      

      

     1. Class.forName("com.mysql.jdbc.Driver");
     2. //加载数据库驱动
     3. Connection  conn = null;
     4. conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test",
     5. "root","1234");
     6. //使用DriverManager获取数据库连接
     7. Statement  stmt = conn.createStatement();
     8. //使用Connection来创建一个Statment对象
     9. return stmt.executeUpdate(sql);
     10. //执行DML语句，返回受影响的记录条数

     3>方法execute： 
         可用于执行任何SQL语句，返回一个boolean值，表明执行该SQL语句是否返回了ResultSet。
     如果执行后第一个结果是ResultSet，则返回true，否则返回false。
     但它执行SQL语句时比较麻烦，通常我们没有必要使用execute方法来执行SQL语句，而是使用executeQuery或executeUpdate更适合。
     但如果在不清楚SQL语句的类型时则只能使用execute方法来执行该SQL语句了。例如：

     [java] view plain copy

      

      

      

     1. Class.forName(driver);
     2. //加载驱动
     3. Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test",
     4. "root","1234");
     5. //获取数据库连接
     6. stmt = conn.createStatement();
     7. //使用Connection来创建一个Statment对象
     8. boolean hasResultSet = stmt.execute(sql);
     9. //执行SQL,返回boolean值表示是否包含ResultSet
     10. if (hasResultSet) { //如果执行后有ResultSet结果集
     11. rs = stmt.getResultSet();
     12. //获取结果集
     13. ResultSetMetaData rsmd = rs.getMetaData();
     14. //ResultSetMetaData是用于分析结果集的元数据接口
     15. int  columnCount = rsmd.getColumnCount();
     16. while (rs.next()){//输出ResultSet对象
     17. for (int i = 0 ; i < columnCount ; i++ ) {
     18. System.out.print(rs.getString(i + 1) + "/t");
     19. }
     20. System.out.print("/n");
     21. }
     22. } else  {
     23. System.out.println("该SQL语句影响的记录有" + stmt.getUpdateCount() + "条");
     24. }
5. JDBC中执行DML语句时有三种方法，请说明是哪三种方法并简述三种方法的适
                用场景
   • 　　
6. 解释下面三个方法返回值的含义：

execute、executeQuery，executeUpdate

1. 【上机】用文字说明ResultSet处理的典型代码各行的作用：

while(rs.next()){

String ename = rs.getString(1);

int empno =
rs.getInt("empno");

}

请解释，getString(1)的含义。 getInt("empno")的含义。

1. 详述JDBC编程的4大步骤?
   • 　　参考链接
2. 大对象的作用。
3. 请简述数据库中大对象的类型及作用，并说明JDBC访问大对象的流程
4. 【上机】SQL注入攻击是怎么回事?用代码说明。
   • 　　毫无疑问，所有的用户登录SQL语句都形如：SELECT * FROM user WHERE name = ' " + userName + " ' and password= ' "+ password +" ';

     　　常见的利用SQL注入攻破用户登录，关键在于在参数 "name" 或是 "password" 中插入特殊符号，以篡改程序SQL的条件判断。

     　　譬如我们这样输入：

     　　　　用户名：1' OR '1'='1

     　　　　密码：1

     　　那么程序接收到参数后，SQL语句就变成了：SELECT * FROM user WHERE name = '1' OR '1'='1 ' and password= '1';

     　　恒为真，即可骗过程序，在没有账号密码的情况下成功登录。

     　　我们也可以这样输入：

     　　　　用户名：1

     　　　　密码：1' OR '1'='1

     　　那么程序接收到参数后，SQL语句就变成了：SELECT * FROM user WHERE name = '1' and password= '1' OR '1'='1 ';

     　　同样恒为真，也可成功登录。

     　　若是恶意攻击数据库，可以随意删除数据库信息，甚至连数据库都可以给你删掉，对项目造成毁灭性的打击，譬如：

     　　　　用户名：1'; DROP DATABASE root;--

     　　　　密码：1

     　　那么程序接收到参数后，SQL语句就变成了：SELECT * FROM user WHERE name = '1'; DROP DATABASE root;--and password= '1';

     　　由于分号;是SQL语句结束的标志，它会导致"SELECT * FROM user WHERE name = '1';" 后面的语句成为一条新的SQL语句，而--是SQL语句的单行注释标志，它会注释掉"and password= '1';"这一段，使整个SQL语句变的合法。然后 "DROP DATABASE root;"这一句直接把整个root数据库都删掉了。

     　　这是被SQL注入攻击最严重的后果。

5. 【上机】完成对Oracle数据库的查询操作，将emp表中所有的数据列出。
   1. 　　select * from emp;
6. 【上机】完成对Oracle数据库的删除操作，将sal小于1500的记录删除。
7. 【上机】PreparedStatement(预编译SQL语句)有什么优势?
   • 　　1、执行效率：Statement 采取直接编译 SQL 语句的方式，扔给数据库去执行，而 PreparedStatement 则先将 SQL 语句预编译一遍，再填充参数，这样效率会高一些。JDK 文档说：SQL 语句被预编译并且存储在 PreparedStatement 对象中，其后可以使用该对象高效地多次执行该语句。

     2、代码可读性：Statement 中 SQL 语句中需要 Java 中的变量，加就得进行字符串的运算，还需要考虑一些引号、单引号的问题，参数变量越多，代码就越难看，而且会被单引号、双引号搞疯掉；而 PreparedStatement，则不需要这样，参数可以采用“?”占位符代替，接下来再进行参数的填充，这样利于代码的可读性，并且符合面向对象的思想。

     3、安全性：Statement 由于可能需要采取字符串与变量的拼接，很容易进行 SQL 注入攻击，而 PreparedStatement 由于是预 编译，再填充参数的，不存在 SQL 注入问题。

8. 【上机】完成老师课堂上测试PreparedStatement代码
9. 【上机】JDBC中，事务是如何管理的?使用代码说明。
   • 参考链接
10. 【上机】通过资源文件的方式，将相关数据库信息放入资源文件中。使用代码说明。
11. 【上机】JDBC的批处理如何完成，写出课堂代码。
    • 参考链接
12. 【上机】JDBC控制访问存储过程。
    • 参考链接
13. 【项目】员工管理系统

JDBC中Statement 接口提供了三种执行 SQL 语句的方法：

executeQuery
executeUpdate 
execute