目录

1. 概念

2. JDBC的工作原理

3. JDBC的使用

4. 数据库连接Connection

5. Statement对象

6. SQL注入及占位符的举例说明

7. ResultSet对象

1. 概念

JDBC，即Java Database Connectivity，Java数据库连接。这是一种用于执行SQL语句的java API，它是Java中的数据库连接规范。这个API由java.sql.*,javax.sql.*包中的一些类和接口组成，它为Java开发人员操作数据库提供了一个标准的API，可以为多种关系数据库提供统一访问。

2. JDBC的工作原理

JDBC为多种关系数据库提供了统一的访问方式，作为特定厂商数据库访问API的一种高级抽象，它主要包含一些通用的接口类。

JDBC访问数据库层次结构：

JDBC优势：

· Java语言访问数据库操作是完全面向抽象接口编程

· 开发数据库应用不用限定在特定数据库厂商的API

· 程序的可移植性大大增强

3. JDBC的使用

准备工作：准备数据库驱动包，并添加到项目的依赖中：

在项目中创建文件夹lib，并将依赖包mysql-connector-java-5.1.47.jar复制到lib中。再配置该jar
包到本项目的依赖中：右键点击项目Open Module Settings，在Modules中，点击项目，配置
Dependencies，点击+，JARS or Directories，将该lib文件夹配置进依赖中，表示该文件夹下的
jar包都引入作为依赖。

· 建立数据库连接

            //加载JDBC驱动程序：反射，这样调用初始化com.mysql.jdbc.Driver类，
            //即将该类加载到JVM方法区，并执行该类的静态方法快，静态属性
            Class.forName("com.mysql.jdbc.Driver");
            //获取数据库连接
            Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/blog?" + 
                    "user=root&password=xiaobai520..@@@&useUnicode=true&characterEncoding=UTF-8&useSSL=false");

MySQL数据库连接的URL参数格式如下： 

jdbc:mysql://服务器地址:端口/数据库名?参数名=参数值

说明：

jdbc:mysql: 为协议

服务器地址：数据库主机域名或ip（本机域名为locallhost）

数据库名：为要连接的数据库名称

？后跟参数，多个参数用&间隔

· 创建操作命令(Statement)

 //创建操作命令对象Statement
 Statement s = conn.createStatement();

· 执行SQL语句

 ResultSet r = s.executeQuery("select id,name from student");

· 处理结果集

 while(r.next()){
                int id = r.getInt("id");
                String name = r.getString("name");
                System.out.printf("id=%s name=%sn",id,name);
            }

· 释放资源（关闭结果集，命令，连接） 

注意：释放资源的顺序和创建的顺序相反，无论jdbc操作成功还是出现异常，都要释放资源，所以要考虑出现异常对象还没有完成初始化还是null情况

// 关闭结果集
 if(r != null){
            try{
                r.close();
            } catch(SQLException e){
                e.printStackTrace();
            }
        }
// 关闭操作命令
 if(S != null){
            try{
                S.close();
            } catch(SQLException e){
                e.printStackTrace();
            }
        }
//关闭连接
 if(conn != null){
            try{
                conn.close();
            } catch(SQLException e){
                e.printStackTrace();
            }
        }

JDBC步骤总结：

1. 创建数据库连接Connection

2. 创建操作命令Statement

3. 使用操作命令来执行SQL

4. 处理结果集ResultSet

5. 释放资源（顺序与创建时相反）

4. 数据库连接Connection

Connection接口实现类由数据库提供，获取Connection的方式有两种：

1. DriverManager驱动管理类的静态方法获取

Class.forName("com.mysql.jdbc.Driver");
Connection connection = DriverManager.getConnection(url);

2. 通过DataSource（数据源）对象获取。实际应用中会使用DataSource对象

DataSource ds = new MysqlDataSource();
 ((MysqlDataSource) ds).setURL("jdbc:mysql://localhost:3306/blog");
 ((MysqlDataSource) ds).setUser("root");
 ((MysqlDataSource) ds).setPassword("root");
 Connection connection = ds.getConnection();   

区别：

1.  DriverManager类来获取的Connection连接，是无法重复利用的，每次使用完以后释放资源
时，通过connection.close()都是关闭物理连接。

2. DataSource提供连接池的支持。连接池在初始化时将创建一定数量的数据库连接，这些连接
是可以复用的，每次使用完数据库连接，释放资源调用connection.close()都是将
Conncetion连接对象回收。

5. Statement对象

Statement对象主要是将SQL语句发送到数据库中。JDBC API中主要提供了三种Statement对象。

Statement：

· 用于执行不带参数的简单SQL语句

PreparedStatement：

· 用于执行简单不带参数的简单SQL语句

· SQL语句会预编译在数据库系统

· 执行速度快于Statament对象

CallableStatement： 

· 用于执行数据库存储过程的调用

实际开发中最常用的是PreparedStatement对象，以下是对其的总结：

1. 参数化SQL查询

2. 性能比Statement高

3. SQL预编译

4. 阻止常见SQL攻击

5. 占位符：？下标从1开始

6. 占位符不能使用多值

主要掌握两种执行SQL的方法：

1. executeQuery() 方法执行后返回单个结果集，通常用于select语句

2. executeUpdate() 方法返回值是一个整数，值受影响的行数，通常用于update,insert,delete语句

6. SQL注入及占位符的举例说明

看这样的例子：一张学生表中有id和姓名，我们通过预编译的方法查询某个学生

代码示例：

import com.mysql.jdbc.jdbc2.optional.MysqlDataSource;

import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class Blog {
    public static void main(String[] args) throws SQLException {
        Connection conn = null; //数据库连接
        PreparedStatement ps = null; //创建预编译命令
        ResultSet r = null; //结果集
        try{
            DataSource ds = new MysqlDataSource();
            ((MysqlDataSource) ds).setURL("jdbc:mysql://localhost:3306/blog");
            ((MysqlDataSource) ds).setUser("root");
            ((MysqlDataSource) ds).setPassword("xiaobai520..@@@");
            ((MysqlDataSource) ds).setUseUnicode(true);
            ((MysqlDataSource) ds).setCharacterEncoding("UTF-8");
            ((MysqlDataSource) ds).setUseSSL(false);
            conn = ds.getConnection();
            String queryName = "小张' or '1'='1";
            String sql = "select id,name from student where name = '"+queryName+"'";
            ps = conn.prepareStatement(sql);
            r = ps.executeQuery();
            while(r.next()){
                int id = r.getInt("id");
                String name = r.getString("name");
                System.out.printf("id=%s name=%sn",id,name);
            }
        }finally{         //反顺序释放资源
            if(r != null){
                r.close();
            }
            if(ps != null){
                ps.close();
            }
            if(conn != null){
                conn.close();
            }
        }
    }
}

1. SQL注入的说明 ：

我们本想只查看小张的信息，但是因为or后面为真，所以每条信息都会遍历到 

输出结果：

这就是SQL注入，在使用简单的操作命令对象，拼接sql字符串时可能会出现安全问题 

2. 占位符的说明 ：

为了防止SQL注入，我们使用预编译的操作命令可以使用占位符 ？，这样可以防止SQL注入还可以提高效率

我们对上面部分代码进行改造：

 String queryName = "小张' or '1'='1";
 int queryId = 3;
 String sql = "select id,name from student where name = ? or id = ?";
 ps = conn.prepareStatement(sql);
 ps.setString(1,queryName);
 ps.setInt(2,queryId);

注意：set后面的类型与后面queryName，queryId相对应，占位符必须从1开始，否则会报错

输出结果：

因为queryName在表中没有找到，只有输出了id=3的这条记录 

7. ResultSet对象

ResultSet对象它被称为结果集，它代表符合SQL语句条件的所有行，并且它通过一套getXXX方法提供
了对这些行中数据的访问。
ResultSet里的数据一行一行排列，每行有多个字段，并且有一个记录指针，指针所指的数据行叫做当
前数据行，我们只能来操作当前的数据行。我们如果想要取得某一条记录，就要使用ResultSet的next()
方法 ,如果我们想要得到ResultSet里的所有记录，就应该使用while循环。