3️⃣ 构造SQL语句
接下去呢,我们就要去构造SQL语句了
- 首先定义一个字符串表示一条插入语句
String sql = "insert into student values (1, 'zhansan')";
- 但是呢有这条语句还不够,在JDBC中,我们还需要搭配一个对象去描述这里的sql情况
PreparedStatement statement = connection.prepareStatement(sql);
💬 这里主要讲一下这个PreparedStatement ,可能有很多同学看懵了。首先对于【startment】对象来说,是将SQL语句发送到数据库中。JDBC API中主要提供了三种Statement对象
- Statement
- PreparedStatement
- CallableStartment
不过我们在工作中用得最多的还是PreparedStatement,字面意思的话就是【预处理语句】
- 对于
PreparedStatement来说,它其实在底层帮我们做了许多事情,不过这里不做详解,有兴趣的同学可以去了解一下Java数据库JDBC——prepareStatement的用法和解释
4️⃣ 执行SQL语句
在构造完SQL语句后,我们就可以去通过这个
statement对象去执行SQL语句了
- 只需要调用这个类中的
executeUpdate()即可,如果你要执行的SQL语句是【增】、【删】、【改】操作的话,那么你的SQL执行语句就写下面这一条就可以了
statement.executeUpdate();
- 但若是你执行的是【查】操作的话,结果就不是这样了,而是要写成下面这句
statement.executeQuery();
5️⃣ 断开连接,释放资源
当然在执行完了之后还要再断开连接,释放掉必要的资源
- 可以看到我们上面所创建出来的两个对象
connection和statement,但是你自己观察就可以发现我在关闭资源的时候是反着来的,这就是因为==资源释放的顺序和创建的顺序是相反的==
statement.close(); connection.close();
- 如果读者学习过C++的话就会很好理解了,因为C++类和对象中存在【析构函数】,对象销毁的时候是存在顺序的;但是因为Java中有GC(垃圾自动回收机制),所以我们一般不需要自己去释放申请的空间,编译器会去做这件事的
这里我还是来讲一下这个构造析构的顺序,帮助读者来进行理解
- 不知道你去过东北没有,反正那边是冬天是挺冷的❄,零下三四十度,不过北方的房子还是很有意思的,一般我们家里都是只有一个院子的,但是在北方一般都有两个院子,而且有两个门,你跨入第一个门相当于进入外院,再跨一个门才算是进入了内院(主院)
- 那此时也就是意味着你要进入内院的话就需要先通过【大门】,然后再通过【二门】;但若是你要出来的话肯定就得先通过【二门】,才能到达【大门】(假设你不会飞🐦)
- 那通过上面这样已说明,相信你对构造、析构的这么一个过程很熟悉了,后构造的对象就需要先析构才可以
4、测试观察
写好了JDBC连接MySQL数据库的代码逻辑,接下去我们就来测试一下是否真的可以去操作数据库
- 首先可以看到的是当前这个数据表
studennt中是不存在任何记录的
- 然后我们到IDEA中去执行一下这段代码的话就可以看到
ret的结果为1,表名SQL语句执行成功
- 然后我们再到数据库中去查看的时候就可以发现有一条记录被插入进来了,这也就实现了用JDBC去操作数据表的功能
💬 如果你是第一次看到的话,一定会觉得很神奇,就像我在第一次看到后端代码可以与前端进行交互的时候,我也很吃惊;现在又看到可以通过后端的代码来操作数据库,又让我觉得耳目一新
5、代码优化
上面只是做了基本的测试,代表我们的代码可以去连接到数据库,但是这份代码还不够【完善】,我们再来完善一下~
1️⃣灵活变通SQL
- 这是我们写的SQL语句,但你是否觉得这样去写太死了,通常我们在操作数据库的时候都会写很多SQL语句,是非常灵活的,但是就下面这样的话确实是不太好
String sql = "insert into student values (1, 'zhansan')";
- 所以我们可以将代码改为下面这样,记录中的【学号】和【姓名】字段我们可以通过自己输入来进行控制
// 3.输入学号和姓名 System.out.println("请输入学号:"); Scanner sc1 = new Scanner(System.in); int id = sc1.nextInt(); System.out.println("请输入姓名:"); Scanner sc2 = new Scanner(System.in); String name = sc2.next(); // 4.构造一个 SQL 语句,来完成插入操作 //String sql = "insert into student values (1, 'zhansan')"; String sql = "insert into student values (" + id + ", '" + name + "')";
- 此时我们通过控制台去进行输入就后构造出SQL语句然后执行就可以发现也是可以插入一条记录的,
2️⃣防止SQL注入攻击
但是对于上面这样的SQL语句构造你可以看出来是比较丑的,不方便阅读与理解,不仅如此,它还容易引起【SQL注入攻击】
- 可能有的同学不太清楚这个【SQL注入攻击】,它是黑客入侵服务器的一种形式,黑客可以通过代码直接拼接构造sql语句导致sql语句结构可被恶意篡改,有兴趣的同学可以去了解一下 链接
对于上面这种危害,我们进行预防最靠谱的方案,就是使用
PreparedStatement中占位符替换的方式,来实现SQL的构造~
- 我们可以把SQL语句构造成下面这样,两个【?】就相当于是占位符
String sql = "insert into student values (?, ?)"; //通过占位符进行替换
- 还记得我们上面使用到的那个
statement对象吗,它可以用来描述SQL的情况,我们可以通过里面的【setInt()】和【setString()】方法来设置记录中的两个字段,从而将这个SQL语句构造完整
// jdbc中还需要搭配一个特定的对象,来搭配描述这里的sql情况 PreparedStatement statement = connection.prepareStatement(sql); statement.setInt(1, id); statement.setString(2, name);
- 然后再去运行的话就可以看到也是可以把记录插入到数据表中的
💬 对于上面这种形式,就是较为安全的SQL语句写法,代码会在文末给出,可供读者参考
6、SQL查找的写法
上面的话就只是SQL的插入,学习过CRUD的同学们一定还会其他操作,对于【删除】、【修改】的话和插入是一模一样的,只需要修改一下SQL语句的构造即可。
👉但是对于【查找】操作就不一样了,和上面的这些操作相比,多了一个遍历结果集
- 首先的话我们要去修改一下SQL语句,改为查询的语句
String sql = "select * from student";
- 然后在执行SQL语句的时候就不能写成
executeUpdate()了,而是要写成executeQuery(),而且返回的结果也不一样,若是【增】、【删】、【改】的话返回的就只是一个【int】类型的值,表示SQL语句是否执行成功 - 但是对于【查】的话就不一样了,因为一个数据表中的记录不止一条,所以它查找就会返回一个结果集,我们要使用
[ResultSet]来进行接受
ResultSet ret = statement.executeQuery();
- 那既然这是一个集合的话,我们要看到里面的内容就要去进行一个遍历的操作,此时,和【迭代器】的遍历很相似,通过
ret.next()去进行判断是否还有下一条记录需要遍历即可,内部去获取到记录中的相关字段,然后显示打印出来即可
while(ret.next()) { int id = ret.getInt("id"); String name = ret.getString("name"); System.out.println("id = " + id + "; name = " + name); }
- 执行程序就可以看到,遍历出了这张表中的所有内容
四、整体代码展示
上面就是通过JDBC连接数据库的这么一套流程,你学会了吗😎
JDBC往数据表插入记录
public class JDBCInsertDemo { public static void main(String[] args) throws SQLException { /** * 使用 JDBC 往数据库中插入一个记录 * 需要提前准备好数据库(java106) 和 数据表(student) */ // 1.创建数据源,描述了数据库服务器在哪 DataSource dataSource = new MysqlDataSource(); ((MysqlDataSource)dataSource).setURL("jdbc:mysql://127.0.0.1:3306/test?characterEncoding=utf8&useSSL=false"); ((MysqlDataSource)dataSource).setUser("root"); ((MysqlDataSource)dataSource).setPassword("panjialie1218"); // 2.和数据库建立网络连接 (写JDBC实际上是实现一个MySQL客户端,通过网络和服务器进行通讯) Connection connection = dataSource.getConnection(); // 3.输入学号和姓名 System.out.println("请输入学号:"); Scanner sc1 = new Scanner(System.in); int id = sc1.nextInt(); System.out.println("请输入姓名:"); Scanner sc2 = new Scanner(System.in); String name = sc2.next(); // 4.构造一个 SQL 语句,来完成插入操作 //String sql = "insert into student values (1, 'zhansan')"; -- 太死板 //String sql = "insert into student values (" + id + ", '" + name + "')"; -- 会SQL注入攻击 String sql = "insert into student values (?, ?)"; //通过占位符进行替换 // jdbc中还需要搭配一个特定的对象,来搭配描述这里的sql情况 PreparedStatement statement = connection.prepareStatement(sql); statement.setInt(1, id); statement.setString(2, name); // 5.执行 SQL 语句 (控制客户端给服务器发送请求) int ret = statement.executeUpdate(); System.out.println("ret = " + ret); // 6.断开和数据库的连接,并且释放掉必要的资源 statement.close(); connection.close(); } }
JDBC查询数据表记录
public class JDBCSelectDemo { public static void main(String[] args) throws SQLException { /** * 使用 JDBC 往数据库中插入一个记录 * 需要提前准备好数据库(java106) 和 数据表(student) */ // 1.创建数据源,描述了数据库服务器在哪 DataSource dataSource = new MysqlDataSource(); ((MysqlDataSource)dataSource).setURL("jdbc:mysql://127.0.0.1:3306/test?characterEncoding=utf8&useSSL=false"); ((MysqlDataSource)dataSource).setUser("root"); ((MysqlDataSource)dataSource).setPassword("panjialie1218"); // 2.和数据库建立网络连接 (写JDBC实际上是实现一个MySQL客户端,通过网络和服务器进行通讯) Connection connection = dataSource.getConnection(); // 3.构造一个 SQL 语句,来完成插入操作 String sql = "select * from student"; // jdbc中还需要搭配一个特定的对象,来搭配描述这里的sql情况 PreparedStatement statement = connection.prepareStatement(sql); // 5.执行 SQL 语句 (控制客户端给服务器发送请求) ResultSet ret = statement.executeQuery(); while(ret.next()) { int id = ret.getInt("id"); String name = ret.getString("name"); System.out.println("id = " + id + "; name = " + name); } // 6.断开和数据库的连接,并且释放掉必要的资源 statement.close(); connection.close(); } }
五、总结与提炼
最后来总结一下本文所学习的内容:book:
- 在本文中,我们首先了解了JDBC的概念以及其相关工作原理,然后的话就通过调用这些JDBC相关的API去加载MySQL数据库的驱动,一步步地去创建数据源、建立连接、构造与执行SQL语句,最后释放连接,完成了通过后端代码去操作数据库,成功往数据表中插入了一条记录
- 接下去呢我们又对代码去进行了一个优化,既提高了代码的灵活性,还可以防止SQL注入攻击,加固了代码的安全性。然后又完成了查询数据表的相关记录的操作,需要涉及对集合的遍历
💬 可能本文的读者不会很多,但如果你读到这里的话那我要和你说一个事实:因为现在几乎都不用JDBC了,市面上有一个很成熟的框架叫做【MyBatis】,它是⼀款优秀的持久层框架,它⽀持⾃定义 SQL、存储过程以及⾼级映射,但是其底层的实现还是基于JDBC的。框架都是层出不穷的,唯有内部核心是永恒不变的,学到底层才是关键🙂
以上就是本文要介绍的所有内容,感谢您的阅读:rose:
