vlambda博客
学习文章列表

JDBC——使用JDBC连接MySQL数据库

在一文中我们已经介绍了JDBC的基本原理。

这篇文章我们聊聊如何使用JDBC连接MySQL数据库。


一、基本操作

首先我们需要一个数据库和一张表:

CREATE DATABASE `test`;
USE `test`;
CREATE TABLE `user` (
 `id` INT(10NOT NULL PRIMARY KEY AUTO_INCREMENT, 
 `username` VARCHAR(20NOT NULL,
 `password` VARCHAR(20NOT NULL
);

然后我们导入驱动jar包mysql-connector-java-8.0.20.jar  导入jar包或者使用maven依赖

至于如何导入jar包或者使用maven依赖,这里不做赘述。


基本步骤:

  1. 注册驱动
  2. 获取连接对象
  3. 创建SQL语句
  4. 创建执行SQL语句的Statement对象
  5. 执行SQL语句
  6. 释放资源

1. INSERT、UPDATE、DELETE

public static void main(String[] args) {
    Connection conn = null;
    Statement stmt = null;
    try {
        //注册驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
        //获取连接对象
        conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=Asia/Shanghai&useSSL=false""root""123456");
        //创建SQL语句
        String sql = "insert into user values (null, '行小观', '1234')";
        //创建Statement对象
        stmt = conn.createStatement();
        //执行SQL语句
        int i = stmt.executeUpdate(sql);
        System.out.println(i);
    } catch (SQLException e) {
        e.printStackTrace();
    } catch (ClassNotFoundException e) {
        e.printStackTrace();
    } finally {
        if (stmt != null) {//避免空指针异常
            try {
                stmt.close();//释放资源
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (conn != null) {
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

DML语句的代码相同

2. SELECT

public static void main(String[] args) {
    Connection conn = null;
    Statement stmt = null;
    ResultSet rs = null;
    try {
        //注册驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
        //获取连接对象
        conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=Asia/Shanghai&useSSL=false""root""123456");
        //创建SQL语句
    String username = "行小观";
         String password = "1234";
         String sql = "select * from user where username = '" + username + "' and password = '" + password + "'";//拼接字符串
        //创建Statement对象
        stmt = conn.createStatement();
        //执行SQL语句
        rs = stmt.executeQuery(sql);
        while (rs.next()) {
            int id = rs.getInt("id");
            String name = rs.getString("name");
            float money = rs.getFloat("money");
            System.out.println(id + "--" + name + "--" + money);
        }
    } catch (SQLException e) {
        e.printStackTrace();
    } catch (ClassNotFoundException e) {
        e.printStackTrace();
    } finally {
        if (rs != null) {
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (stmt != null) {//避免空指针异常
            try {
                stmt.close();//释放资源
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (conn != null) {
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

二、类的解释

1. DriverManager

(1) 通过DriverManager注册驱动

Class.forName("com.mysql.cj.jdbc.Driver")将Driver类加载进内存。

我们翻看Driver类的源码发现静态代码块:

static {
    try {
        DriverManager.registerDriver(new Driver());
    } catch (SQLException var1) {
        throw new RuntimeException("Can't register driver!");
    }
}

该静态代码块随着类被加载而执行,一旦执行,便通过DriverManager.registerDriver(new Driver())注册驱动。

(2) 通过DriverManager获取Connection对象

DriverManager.getConnection(url, username, password)

我们只需提供三个参数:数据库的url,用户名,密码。

注意:url中需要加时区。

2. Connection

conn.createStatement()

通过Connection对象创建Statement对象

3. Statement

该对象能够执行静态SQL语句并返回执行结果。

4. ResultSet

表示数据库结果集的数据表,通常由执行查询数据库的语句生成。

可以使用next()方法遍历结果集

三、SQL注入

上面的例子中有一个很严重的问题就是我们写的SQL语句都是静态的,换句话说,就是SQL语句是使用字符串拼接起来的。比如说:

String username = "行小观";
String password = "1234";
String sql = "select * from user where username = '" + username + "' and password = '" + password + "'";

我们将变量代入后的效果是:

select * from user where username = '行小观' and password = '1234'

这样执行是没问题的。

但是现在情况变了:

String username = "行小观";
String password = "1' or '1' = '1";

我们将变量代入后的效果是:

select * from user where username = '行小观' and password = '1' or '1' = '1'

因为or '1'='1'的原因,导致SQL语句的where子句为true,等价于

select * from user

所以会将整张表给查询出来。

以上便是SQL注入。

四、使用PreparedStatement防止SQL注入

使用Statement对象执行静态SQL语句,如果执行了特殊构造的语句,会导致SQL注入,出现安全漏洞。

使用PreparedStatement对象能避免上述问题。

PreparedStatement对象是预编译的SQL语句的对象,继承自Statement。

什么是预编译的SQL语句?

静态SQL语句

String sql = "select * from user where username = '" + username + "' and password = ' " + password + "'";

改为预编译的SQL语句:

String sql = "select * from user where username = ? and password = ? ";

编写SQL语句时,不使用字符串进行拼接,而是使用问号?占位符代替变量。

使用JDBC的步骤有所变化:

  1. 注册驱动
  2. 获取连接对象
  3. 创建SQL语句
  4. 创建执行SQL语句的PreparedStatement对象
  5. 给?赋值
  6. 执行SQL语句
  7. 释放资源
public static void main(String[] args) {
    Connection conn = null;
    PreparedStatement pstmt = null;
    ResultSet rs = null;
    try {
        //注册驱动
        Class.forName("com.mysql.cj.jdbc.Driver");
        //获取连接对象
        conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?serverTimezone=Asia/Shanghai&useSSL=false""root""123456");
        //创建SQL语句
        String username = "行小观";
        String password = "1234";
        String sql = "select * from user where username = ? and password = ?";
        //创建PreparedStatement对象
        pstmt = conn.prepareStatement(sql);
        //给?赋值
        pstmt.setString(1, username);
        pstmt.setString(2, password);
        //执行SQL语句
        rs = pstmt.executeQuery();
        while (rs.next()) {
            int id = rs.getInt("id");
            String unm = rs.getString("username");
            String pwd = rs.getString("password");
            System.out.println(id + "--"+ unm + "--" + pwd);
        }

    } catch (SQLException e) {
        e.printStackTrace();
    } catch (ClassNotFoundException e) {
        e.printStackTrace();
    } finally {
        if (rs != null) {
            try {
                rs.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        if (pstmt != null) {//避免空指针异常
            try {
                pstmt.close();//释放资源
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (conn != null) {
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

五、进一步封装

上面的例子,有几点缺点:

  1. 有大量重复代码。
  2. 驱动类的全限定类名、数据库的url、username、password写在代码中,如果更改这些值还需要修改代码。

首先我们将Driver的全限定类名、数据库的信息写在配置文件database.properties中,通过读取配置文件获取这些值,当我们需要更改信息时,不用修改代码,直接在配置文件中修改信息即可。

driver=com.mysql.cj.jdbc.Driver
url=jdbc:mysql://localhost:3306/test?serverTimezone=Asia/Shanghai&useSSL=false
username=root
password=123456

然后我们将注册驱动类、获取连接、释放资源这些操作封装到工具类JdbcUtil中。

public class JdbcUtil {
    private static String driver;
    private static String url;
    private static String username;
    private static String password;

    static {
        try {
            Properties pro = new Properties();
            ClassLoader classLoader = JdbcUtil.class.getClassLoader();
            URL resourceURL = classLoader.getResource("database.properties");
            String path = resourceURL.getPath();
            pro.load(new FileReader(path));
            driver = pro.getProperty("driver");
            url = pro.getProperty("url");
            username = pro.getProperty("username");
            password = pro.getProperty("password");
            Class.forName(driver);
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

    public static Connection getConnection() {
        try {
            return DriverManager.getConnection(url, username, password);
        } catch (SQLException e) {
            e.printStackTrace();
        }
        return null;
    }

    public static void close(Statement stmt, Connection conn) {
        if (stmt != null) {//避免空指针异常
            try {
                stmt.close();//释放资源
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }

        if (conn != null) {
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

    public static void close(ResultSet rs, Statement stmt, Connection conn) {
        close(stmt, conn);

        if (conn != null) {
            try {
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
    
}

我们再使用JDBC时,就可以使用工具类简化代码了。

public static void main(String[] args) {
    Connection conn = null;
    PreparedStatement pstmt = null;
    ResultSet rs = null;
    try {
        //获取连接
        conn = JdbcUtil.getConnection();
        //创建SQL语句
        String username = "行小观";
        String password = "1234";
        String sql = "select * from user where username = ? and password = ?";
        //创建PreparedStatement对象
        pstmt = conn.prepareStatement(sql);
        //给?赋值
        pstmt.setString(1, username);
        pstmt.setString(2, password);
        //执行SQL语句
        rs = pstmt.executeQuery();
        while (rs.next()) {
            int id = rs.getInt("id");
            String unm = rs.getString("username");
            String pwd = rs.getString("password");
            System.out.println(id + "--"+ unm + "--" + pwd);
        }
    } catch (SQLException e) {
        e.printStackTrace();
    } finally {
        JdbcUtil.close(rs, pstmt, conn);
    }
}



 往期推荐 

🔗