一、JDBC原理
既然JDBC主要是用于java连接数据库的,能连接什么数据库没有指定,其实能连接很多种数据库,而且一般来说可以连接oracle和mysql,通常也是这两种。但是既然JDBC能连接这么多的数据库,开发起来太麻烦了,于是sun公司那帮人想出了一个办法,我定义一套规则,大家都按照这个规则来,实现自己公司访问数据库的实现。这套规则就是JDBC,遵循了JDBC规范的,可以访问自己数据库的API被称之为驱动。
所以jdbc是不变的,但是驱动却有很多种。
现在大家应该能理解了这套原理了。其实是很简单。JDBC只是一套规范接口,真正实现的是下面的各种驱动。我们使用一个例子来解释一下。
二、例子演示
在上面那张图里面,基本上也交代出了使用一个数据库的一般步骤。
(1)注册一个驱动
(2)使用驱动和数据库连接
(3)使用连接对象获取操作数据库的执行对象
我们干脆使用代码来实际演示一遍,首先我在数据库里面建了一张person表,并随便插入了两条记录。
有了这三步我们就能根据返回的preparedStatement操作数据库了,下面我们在main方法中测试一波。
用完了之后关闭就好。到现在为止一个完整的JDBC案例也给出来了。现在我们来分析一下使用一个数据库的一般步骤。针对以上3各功能,提供了一下4个类:
(1)DriverManager:该类管理数据库驱动程序。
(2)Connection:管理数据库建立的连接。
(3)Statement:负责将要执行的sql体局提交到数据库。
(4)ResultSet:执行sql查询语句返回的结果集。
1、注册驱动
JDBC中规定,驱动类在被加载时,需要自己“主动”把自己注册到DriverManger中,如何注册一个驱动呢?上面我们好像使用的是反射,但是反射只是实现了注册的功能,追究其原理,我们还需要到com.mysql.jdbc.Driver类的源代码中找寻答案。
也就是说我们注册驱动的时候只是new了自己,也就是Driver,既然这样我们直接把注册驱动类的代码修改为加载驱动类。也可以实现同样的功能,于是就使用Class.forName(“com.mysql.jdbc.Driver”); 代替了,形式也更加的简单。
2、获取连接
在分析原理的时候意思就是有了驱动,我们还要和我们的数据库建立连接。这个很简单,既然是数据库,我们首先需要指定我们使用的数据库是哪一个,还有用户名和密码。
3、获取Statement
获取了连接之后,下面我们就可以获取Statement。Statement是用来向数据库发送要执行的SQL语句的。
Statement最为重要的方法是:
(1)int executeUpdate(String sql):执行更新操作,即执行insert、update、delete语句,其实这个方法也可以执行create table、alter table,以及drop table等语句,但我们很少会使用JDBC来执行这些语句;
(2)ResultSet executeQuery(String sql):执行查询操作,执行查询操作会返回ResultSet,即结果集。
4、读取结果集中的数据
我们在main方法中测试了一下,首先定义了一条sql语句,然后使用Statement向数据库发送我们的sql语句。此时会返回一个结果集ResultSet。
ResultSet就是一张二维的表格,我们可以调用rs对象的next()方法把“行光标”向下移动一行,当第一次调用next()方法时,“行光标”就到了第一行记录的位置,这时就可以使用ResultSet提供的getXXX(int col)方法来获取指定列的数据了。当然里面的方法还很多。
(1)String getString(int columnIndex):获取指定列的String类型数据;
(2)int getInt(int columnIndex):获取指定列的int类型数据;
(3) double getDouble(int columnIndex):获取指定列的double类型数据;
(4)boolean getBoolean(int columnIndex):获取指定列的boolean类型数据;
(5)Object getObject(int columnIndex):获取指定列的Object类型的数据。
(6)String getString(String columnName):获取名称为columnName的列的String数据;
(7)int getInt(String columnName):获取名称为columnName的列的int数据;
(8)double getDouble(String columnName):获取名称为columnName的列的double数据;
(9)boolean getBoolean(String columnName):获取名称为columnName的列的boolean数据;
(10)Object getObject(String columnName):获取名称为columnName的列的Object数据;
上面其实分了两类。一类是根据指定列,一类是根据指定列名。
当然如果执行失败了呢?是否要支持滚动呢?这要从Connection类的createStatement()方法说起。也就是说创建的Statement决定了使用Statement创建的ResultSet是否支持滚动。
Statement createStatement(int resultSetType, int resultSetConcurrency)
resultSetType的可选值:
(1)ResultSet.TYPE_FORWARD_ONLY:不滚动结果集;
(2)ResultSet.TYPE_SCROLL_INSENSITIVE:滚动结果集,但结果集数据不会再跟随数据库而变化;
(3)ResultSet.TYPE_SCROLL_SENSITIVE:滚动结果集,但结果集数据不会再跟随数据库而变化;
可以看出,如果想使用滚动的结果集,我们应该选择TYPE_SCROLL_INSENSITIVE!其实很少有数据库驱动会支持TYPE_SCROLL_SENSITIVE的特性!通常我们也不需要查询到的结果集再受到数据库变化的影响。
现在来看基本上JDBC就这么多内容,还有最后一个问题。那就是sql注入攻击的问题。
三、sql注入攻击
为了解释好他的概念,我们使用java关键字来讲解,我们在写代码的时候都知道Class是java中的一个关键字,我们不能把它当成一个普通变量来定义,对于sql也是同样的道理,比如select是一个查询关键字,我们就不能把它当成一个普通的字段来操作。
但是这样会出现一个问题,我们的用户总是千奇百怪,你不知道他会做出什么样的事,万一用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,这样的攻击方式就叫做sql注入攻击。
JDBC是如何解决这个问题的呢?还要从我们的第三步获取Statement说起。PreparedStatement利用预编译的机制将sql语句的主干和参数分别传输给数据库服务器,从而使数据库分辨的出哪些是sql语句的主干哪些是参数,这样一来即使参数中带了sql的关键字,数据库服务器也仅仅将他当作参数值使用,从而从原理上防止了sql注入的问题。
一句话来总结就是把主干和参数分别传输。
其实不仅仅有PreparedStatement,还有一个Statment类也能执行sql语句,功能类似。但是稍微有一点区别,PreparedStatement 与Statment比较:
语法不同:PreparedStatement可以使用预编译的sql,而Statment只能使用静态的sql
效率不同: PreparedStatement可以使用sql缓存区,效率比Statment高
安全性不同: PreparedStatement可以有效防止sql注入,而Statment不能防止sql注入。
