# day10_JDBC基础

一,JDBC概述

1.为什么要使用JDBC

1.1没有JDBC

1.2有了JDBC后

2.JDBC的概念

2.1.什么是JDBC

• JDBC:java database connectivity

  sun公司为了简化和统一java连接数据库,定义的一套规范(API)

2.2.JDBC和数据库驱动的关系

• 接口与实现的关系

二,开发第一个JDBC程序

1,环境的准备

• 调出java视图

• 设置编码为utf-8

• 调整字体大小

• 调出行数

• 调出控制台

2.开发第一个JDBC程序

3.1开发步骤

• 注册驱动(要引入驱动jar包)
• 获得连接
• 创建执行sql语句的对象
• 执行sql语句,处理结果
• 关闭资源

3.2代码实现

3.2.1 数据库的准备

3.2.2代码实现

3.单元测试介绍

1. 介绍：JUnit是一个Java语言的单元测试框架。属于第三方工具，一般情况下需要导入jar包，不过，多数Java开发环境已经集成了JUnit作为单元测试工具

2. 编写测试类，简单理解可以用于取代java的main方法

3. 在测试类方法上添加注解@Test

4. 注解修饰的方法要求：public void 方法名() {…} ，方法名自定义建议test开头，没有参数。

5. 添加eclipse中集成的Junit库，鼠标点击“@Test”，使用快捷键“ctrl + 1”，点击“Add Junit …”

   结果:

1. 使用：选中方法右键，执行当前方法；选中类名右键，执行类中所有方法（方法必须标记@Test）

1. 常见使用错误，如果没有添加“@Test”，使用“Junit Test”进行运行，将抛异常

单元测试需要注意的地方:

三,JDBC API详解

1.java.sql.Drivermanager

1.1 registerDriver(Driver driver) ;注册驱动

static {
    try {
        java.sql.DriverManager.registerDriver(new Driver());
    } catch (SQLException E) {
        throw new RuntimeException("Can't register driver!");
    }
}

• 翻阅源码发现,通过API的方式注册驱动,Driver会new两次,所有推荐这种写法:

    Class.forName("com.mysql.jdbc.Driver");

1.2 getConnection(String url, String user, String password) ;与数据库建立连接

2.java.sql.Connection接口

• 接口的实现在数据库驱动中。所有与数据库交互都是基于连接对象的。

2.1createStatement() ;创建执行sql语句对象

2.2prepareStatement(String sql) ;创建预编译执行sql语句的对象

3.java.sql.Statement接口

• 接口的实现在数据库驱动中
• 操作sql语句，并返回相应结果对象

3.1 Statement; 执行sql语句对象

• ResultSet executeQuery(String sql) 根据查询语句返回结果集。只能执行select语句。
• int executeUpdate(String sql) 根据执行的DML（insert update delete）语句，返回受影响的行数。
• boolean execute(String sql) 此方法可以执行任意sql语句。返回boolean值，表示是否返回ResultSet结果集。仅当执行select语句，且有返回结果时返回true, 其它语句都返回false;

4.java.sql.ResultSet接口

4.1封装结果集,查询结果表的对象

• 提供一个游标，默认游标指向结果集第一行之前。
• 调用一次next()，游标向下移动一行。
• 提供一些get方法。

4.2ResultSet接口常用API

• boolean next(); 将光标从当前位置向下移动一行
• int getInt(int colIndex)以int形式获取ResultSet结果集当前行指定列号值
• int getInt(String colLabel)以int形式获取ResultSet结果集当前行指定列名值
• float getFloat(int colIndex)以float形式获取ResultSet结果集当前行指定列号值
• float getFloat(String colLabel)以float形式获取ResultSet结果集当前行指定列名值
• String getString(int colIndex)以String 形式获取ResultSet结果集当前行指定列号值
• String getString(String colLabel)以String形式获取ResultSet结果集当前行指定列名值
• Date getDate(int columnIndex); 以Date 形式获取ResultSet结果集当前行指定列号值
• Date getDate(String columnName);以Date形式获取ResultSet结果集当前行指定列名值
• void close()关闭ResultSet 对象

四.JDBC操作数据库练习

1.增删改查

2.JDBC工具类的抽取

• 创建配置文件,配置文件在src目录下

• 工具类实现

  ​

  public class JdbcUtils {
        static String url;
        static String user;
        static String password;
        static String driver;
        //注册驱动
        static{
        try {
            //读取配置文件
            //InputStream is = new FileInputStream("src/jdbc.properties");
            //InputStream is = JdbcUtil.class.getResourceAsStream("/jdbc.properties");
            //InputStream is = JdbcUtil.class.getClassLoader.getResourceAsStream("jdbc.properties");
            //Properties properties = new Properties();
            //properties.load(is);
            //url = properties.getProperty("url");
            //user = properties.getProperty("user");
            //password = properties.getProperty("password");
            //driver = properties.getProperty("driver");
            ResourceBundle bundle = ResourceBundle.getBundle("jdbc");
        url = bundle.getString("url");
        user = bundle.getString("user");
        password = bundle.getString("password");
        driver = bundle.getString("driver");
        Class.forName(driver );
    } catch (Exception e) {
        e.printStackTrace();
    }
            
  }
  
    //获得连接
    public static Connection getConnection() throws SQLException{
    Connection connection = DriverManager.getConnection(url, user, password);
  
            return connection;
            
            }
        //关闭资源
  
    public static void release(ResultSet resultSet,Statement statement,Connection connection){
        if(resultSet != null){
        try {
            resultSet.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }
    
        if(statement != null){
        try {
            statement.close();
        } catch (SQLException e) {
            e.printStackTrace();
        }
  
    }
    
        if(connection != null){
        
          try {
                connection.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
      }
    }
  

五,实现一个用户登录功能

六,SQL注入问题解决：preparedStatement

1.preparedStatement：预编译对象， 是Statement对象的子类。

特点：

• 性能要高
• 会把sql语句先编译
• sql语句中的参数会发生变化，过滤掉用户输入的关键字。

2.用法

2.1通过connection对象创建

• prepareStatement(String sql) ;创建prepareStatement对象
• sql表示预编译的sql语句,通过?来占位

2.2通过setxxx方法来指定参数

• setxxx(int i,Obj obj); i 指的就是问号的索引(指第几个问号),xxx是类型(eg:int,String)

2.3实例

        String sql = "select *from user where username =? and password =?";
        //创建prepareStatement
        statement = connection.prepareStatement(sql);
        //设置参数
        statement.setString(1, username);
        statement.setString(2, password);
        
        resultSet = statement.executeQuery();

备注:

​ jdbc程序在执行的过程中sql语句在拼装时使用了由页面传入参数，如果用户恶意传入一些sql中的特殊关键字，会导致sql语句意义发生变化，这种攻击方式就叫做sql注入.

​ PreparedStatement是Statement的子类，不同的是，PreparedStatement使用预编译机制，在创建PreparedStatement对象时就需要将sql语句传入，传入的过程中参数要用?替代，这个过程回导致传入的sql被进行预编译，然后再调用PreparedStatement的setXXX将参数设置上去，由于sql语句已经经过了预编译，再传入特殊值也不会起作用了。而且PreparedStatement使用了预编译机制，sql语句在执行的过程中效率比Statement要高。

select* from users where username='张三'#' and password='njksad'
可以看到  username='张三' 之后是一个#,那就意味着之后的内容都是注释，也就是可以忽略掉那么这条语句真正发挥作用的部分就是：
select* from users where username='张三'
直接变成了一条查找张三 的语句，完全不用经过密码验证。