Mybatis JDBC->Mybatis

　　1 什么是JDBC

　　Java程序都是通过JDBC（Java Data Base Connectivity）连接数据库的，通过SQL对数据库编程。JDBC是由SUN公司（SUN公司已被Oracle公司收购）提出的一系列规范，只定义了接口规范，具体的实现是由各个数据库厂商去完成的。因为每个数据库都有其特殊性，这些是Java规范没有办法确定的，所以JDBC就是一种典型的桥接模式。

　　

　　2 常用接口

　　2.1 Driver接口

　　要连接数据库，必须先加载特定厂商的数据库驱动程序，不同的数据库有不同的加载方法。共有2种方式。

　　2.1.1 Class.forName("com.mysql.jdbc.Driver");

　　推荐这种方式，不会对具体的驱动类产生依赖。

　　例如：

 // 加载Oracle驱动
 Class.forName("oracle.jdbc.driver.OracleDriver");

　　2.1.2 DriverManager.registerDriver("com.mysql.jdbc.Driver");

　　会造成DriverManager中产生2个一样的驱动，并会对具体的驱动类产生依赖。

　　2.2 Connection接口

　　与特定数据库连接后，Connection执行SQL语句并返回结果。DriverManager.getConnection(url, user, password)方法建立在JDBC URL中定义的数据库Connection连接上。例如：

 // 连接MySQL数据库
 Connection conn = DriverManager.getConnection("jdbc:mysql://host:port/database", "user", "password");

 // 连接Oracle数据库
 Connection conn = DriverManager.getConnection("jdbc:oracle:thin:@host:port:database", "user", "password");

　　

　　常用方法：

　　createStatement()：创建向数据库发送sql的statement对象。

　　prepareStatement(sql) ：创建向数据库发送预编译sql的PreparedSatement对象。

　　prepareCall(sql)：创建执行存储过程的callableStatement对象。

　　setAutoCommit(boolean autoCommit)：设置事务是否自动提交。

　　commit() ：在此连接上提交事务。

　　rollback() ：在此连接上回滚事务。

　　

　　2.3 Statement接口

　　用于执行静态SQL语句并返回它所生成结果的对象。

　　3个Statement类：

　　Statement：由createStatement方法创建，用于发送简单的SQL语句（不带参数）。

　　PreparedStatement ：继承Statement类，由prepareStatement方法创建，用于发送含有1个或多个参数的SQL语句。与父类Statement相比，有以下几个优点：

　　—可以防止SQL注入。

　　DBUtils辅助类

 package com.test.jdbc;

 import java.sql.Connection;
 import java.sql.DriverManager;
 import java.sql.ResultSet;
 import java.sql.SQLException;
 import java.sql.Statement;
 /**
  * @author Administrator
  * 模板类DBUtils
  */
 public final class DBUtils {
     // 参数定义
     private static String url = "jdbc:mysql://localhost:3306/mytest"; // 数据库地址
     private static String username = "root"; // 数据库用户名
     private static String password = "root"; // 数据库密码

     private DBUtils() {

     }
     // 加载驱动
     static {
         try {
             Class.forName("com.mysql.jdbc.Driver");
         } catch (ClassNotFoundException e) {
             System.out.println("驱动加载出错!");
         }
     }

     // 获得连接
     public static Connection getConnection() throws SQLException {
         return DriverManager.getConnection(url, username, password);
     }

     // 释放连接
     public static void free(ResultSet rs, Statement st, Connection conn) {
         try {
             if (rs != null) {
                 rs.close(); // 关闭结果集
             }
         } catch (SQLException e) {
             e.printStackTrace();
         } finally {
             try {
                 if (st != null) {
                     st.close(); // 关闭Statement
                 }
             } catch (SQLException e) {
                 e.printStackTrace();
             } finally {
                 try {
                     if (conn != null) {
                         conn.close(); // 关闭连接
                     }
                 } catch (SQLException e) {
                     e.printStackTrace();
                 }

             }

         }

     }

 }

　　在写SQL注入演示类之前看下数据库结构（简单的users表）：

　　

　　SQL注入演示类

 package com.test.jdbc;

 import java.sql.Connection;
 import java.sql.ResultSet;
 import java.sql.SQLException;
 import java.sql.Statement;

 public class SqlInner {
     public static void main(String[] args) {
         //Read("zhangsan"); // 如果普通查询可以
         Read("' or 1 or'");
     }
     public static void Read(String name) {
         Statement st = null;
         ResultSet rs = null;
         Connection conn = null;
         try {
             conn = DBUtils.getConnection();
             st = conn.createStatement();
             String sql = "select * from users where lastname = '" + name + "'"; // 主要注入发生地
             System.out.println("sql: " + sql); // 打印SQL语句
             rs = st.executeQuery(sql);
             System.out.println("age\tlastname\tfirstname\tid");
             while (rs.next()) {
                 System.out.println(rs.getInt(1) + "\t" + rs.getString(2)
                         + "\t\t" + rs.getString(3) + "\t\t" + rs.getString(4));
             }
         } catch (SQLException e) {
             e.printStackTrace();
         } finally {
             DBUtils.free(rs, st, conn);
         }
     }
 }

　　如果用普通的键zhangsan来查询，结果如下：

　　

　　使用下面的' or 1 or'，结果如下：

　　

　　把所有结果都打印出来了。打印生成后的SQL语句如下：

　　

　　这是一种SQL注入，用了2个单引号，分别把前后的两个''给封闭了，变成两个空，然后通过or 1即or true符合所有条件。

　　使用PreparedStatement

 package com.test.jdbc;

 import java.sql.Connection;
 import java.sql.PreparedStatement;
 import java.sql.ResultSet;
 import java.sql.SQLException;

 public class SqlInner {
     public static void main(String[] args) {
         Read("' or 1 or'");
     }
     public static void Read(String name) {
         PreparedStatement st = null;
         ResultSet rs = null;
         Connection conn = null;
         try {
             conn = DBUtils.getConnection();
             String sql = "select * from users where lastname = ?"; // 这里用问号
             st = conn.prepareStatement(sql);
             st.setString(1,name); // 这里将问号赋值
             rs = st.executeQuery();
             System.out.println("age\tlastname\tfirstname\tid");
             while (rs.next()) {
                 System.out.println(rs.getInt(1) + "\t" + rs.getString(2)
                         + "\t\t" + rs.getString(3) + "\t\t" + rs.getString(4));
             }
         } catch (SQLException e) {
             e.printStackTrace();
         } finally {
             DBUtils.free(rs, st, conn);
         }
     }
 }

　　PreparedStatement用?代替变量，然后通过setString赋值。由于PreparedStatement内置了字符过滤，就相当于where name = ' or 1 or '，没有对应记录，所以结果为空。这体现了PreparedStatement的防注入功能。

　　—在特定的驱动数据库下相对效率要高(不绝对)。

　　—因为已经预加载了，所以不需要频繁编译。

　　CallableStatement：继承PreparedStatement类，由prepareCall方法创建，用于调用存储过程。

　　Statement常用方法：

　　execute(String sql)：返回值为true时，执行的是查询语句，可以通过getResultSet方法获取结果；返回值为false时，执行的是更新语句或DDL语句。

　　executeQuery(String sql)：执行select语句，返回ResultSet结果集。

　　executeUpdate(String sql)：执行insert/update/delete语句，返回影响的行数。

　　addBatch(String sql) ：把多条SQL语句放到一个批处理中。

　　executeBatch()：向数据库发送一批SQL语句并执行，返回每条SQL语句执行后的影响行数的int数组。

　　2.4 ResultSet接口

　　结果集

　　检索不同类型字段的常用方法：

　　getString(int index)、getString(String columnName)：获得在数据库里是varchar、char等类型的数据对象。

　　getFloat(int index)、getFloat(String columnName)：获得在数据库里是Float类型的数据对象。

　　getDate(int index)、getDate(String columnName)：获得在数据库里是Date类型的数据对象。

　　getBoolean(int index)、getBoolean(String columnName)：获得在数据库里是Boolean类型的数据对象。

　　getObject(int index)、getObject(String columnName)：获取在数据库里任意类型的数据对象。

　　

　　对结果集进行滚动的方法：

　　next()：移动到下一行。

　　Previous()：移动到前一行。

　　absolute(int row)：移动到指定行。

　　beforeFirst()：移动resultSet的最前面。

　　afterLast() ：移动到resultSet的最后面。

　　3 使用JDBC的步骤

　　加载JDBC驱动 → 获取数据库连接Connection对象 → 创建执行SQL语句的PreparedStatement对象 → 处理执行结果ResultSet对象 → 释放资源。

　　注意，释放资源顺序：ResultSet → PreparedStatement → Connection。

　　3.1 加载JDBC驱动（只加载1次）

　　Class.forName("com.MySQL.jdbc.Driver");

　　3.2 获取数据库连接Connection对象

 Connection conn = DriverManager.getConnection("jdbc:mysql://host:port/database", "user", "password");

　　URL用于标识数据库的位置，通过URL地址告诉JDBC程序连接哪个数据库，URL的写法为：

　　

　　其他参数如：useUnicode=true&characterEncoding=utf8

　　

　　3.3 创建执行SQL语句的PreparedStatement对象

 //Statement
 String id = "5";
 String sql = "delete from table where id=" +  id;
 Statement st = conn.createStatement();
 st.executeQuery(sql);
 //存在sql注入的危险
 //如果用户传入的id为“5 or 1=1”，那么将删除表中的所有记录

　

 //PreparedStatement 有效的防止sql注入(SQL语句在程序运行前已经进行了预编译,当运行时动态地把参数传给PreprareStatement时，即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令)
 String sql = “insert into user (name,pwd) values(?,?)”;
 PreparedStatement ps = conn.preparedStatement(sql);
 ps.setString(1, “col_value”);  //占位符顺序从1开始
 ps.setString(2, “123456”); //也可以使用setObject
 ps.executeQuery();

　　

　　3.4 处理执行结果ResultSet对象

 ResultSet rs = ps.executeQuery();
     While(rs.next()){
         rs.getString(“col_name”);
         rs.getInt(1);
         //…
 }  

　　

　　3.5 释放资源

 // 数据库连接（Connection）非常耗资源，尽量晚创建，尽量早的释放
 // 都要加try catch finally以防前面关闭出错，后面的就不执行了
 try {
     if (rs != null) {
         rs.close();
     }
 } catch (SQLException e) {
     e.printStackTrace();
 } finally {
     try {
         if (st != null) {
             st.close();
         }
     } catch (SQLException e) {
         e.printStackTrace();
     } finally {
         try {
             if (conn != null) {
                 conn.close();
             }
         } catch (SQLException e) {
             e.printStackTrace();
         }
     }
 }

　　

　　4 什么是MyBatis

　　官网 http://www.mybatis.org/mybatis-3/zh/index.html

　　MyBatis是一款优秀的持久层框架，它支持定制化SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以使用简单的XML或注解来配置和映射原生信息，将接口和Java的POJOs(Plain Old Java Objects，普通的Java对象)映射成数据库中的记录。

　　5 JDBC演变到MyBatis过程

　　5.1 连接获取和释放

　　频繁地开启和关闭数据库连接造成资源浪费，影响系统性能。

　　解决方案：

　　通过数据库连接池反复利用已经建立的连接去访问数据库，减少连接的开启和关闭的时间。即使用数据库连接池动态管理数据库连接。

　　但数据库连接池多种多样，有可能采用DBCP连接池，也有可能采用容器本身的JNDI连接池。

　　从DataSource里面获取数据库连接，具体实现由用户来配置。

　　5.2 SQL语句统一存取

　　使用JDBC操作数据库时，SQL语句基本都散落在各个Java类中，这样有3个不足之处：

　　—可读性很差，不利于维护以及做性能调优。

　　—改动Java代码需要重新编译、打包部署。

　　—不利于取出SQL语句在数据库客户端执行（因为之前编写好的SQL语句通过＋号进行拼凑，所以取出后需要删掉中间的Java代码）。

　　解决方案：

　　SQL语句统一存放到XML中。

　　

　　5.3 重复SQL语句

　　如何复用SQL语句？

　　解决方案：

　　将重复的SQL片段独立成一个SQL块，然后各个SQL语句引用重复的SQL块。

　　5.4 传入参数映射和动态SQL

　　根据前台传入参数的不同，如何动态生成对应的SQL语句呢？

　　解决方案：

　　使用if、choose、when、otherwise元素组装SQL语句，#{变量名}传递SQL所需要的参数，${变量名}传递SQL语句本身。

　　5.5 结果映射和结果缓存

　　如何封装结果处理？

　　解决方案：

　　为了将结果匹配到对应的数据结构，SQL处理器需要明确两点：第一，需要返回什么类型的对象？第二，结果如何映射到相应的数据结构？

　　如何存储SQL执行结果即缓存来提升性能？

　　缓存数据都是key-value的格式，SQL语句和传入参数两部分合起来可以作为数据缓存的key值。

　　

　　参考资料

　　《深入浅出MyBatis技术原理与实战》

　　JDBC教程

　　JDBC详解

　　JDBC Statement接口实现的execute方法

　　JDBC PrepareStatement对象执行批量处理实例

　　JDBC之PreparedStatement

　　终结篇：MyBatis原理深入解析（一）