黑马程序员小鲁哥哥白话笔记-JDBC(二)

小鲁哥哥白话笔记-JDBC（API详解）

前一章里我们让大家对JDBC的api有了一些了解，今天我们就聊一聊如何使用JDBC。首先我们就聊一聊JDBC的注入问题：

SQL注入问题

假设有登录案例SQL语句如下:

SELECT * FROM 用户表WHERE NAME = 用户输入的用户名AND PASSWORD = 用户输的密码;

此时，当用户输入正确的账号与密码后，查询到了信息则让用户登录。但是当用户输入的账号为XXX 密码为：XXX’OR ‘a’=’a时，则真正执行的代码变为：SELECT * FROM 用户表WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’OR ’a’=’a’;

此时，上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了，显然我们不希望看到这样的结果，这便是SQL注入问题。

为此，我们使用PreparedStatement来解决对应的问题。

那么PreparedStatement是一个什么类呢，它起到了什么作用，下面给大家详细的聊一聊它是什么，他有什么作用：

使用PreparedStatement预处理对象时，建议每条sql语句所有的实际参数，都使用逗号分隔。

String sql = "insert into sort(sid,sname) values(?,?)";;

PreparedStatement预处理对象代码：

PreparedStatementpsmt = conn.prepareStatement(sql)

常用方法：

1.执行SQL语句:

●intexecuteUpdate(); --执行insert update delete语句.

●ResultSetexecuteQuery(); --执行select语句.

●boolean execute(); --执行select返回true 执行其他的语句返回false.

2.设置实际参数

●void setXxx(int index, Xxx xx) 将指定参数设置为给定Java的xx值。在将此值

发送到数据库时，驱动程序将它转换成一个SQL Xxx类型值。

例如：

setString(2, "家用电器") 把SQL语句中第2个位置的占位符？替换成实际参数"

家用电器"

预处理对象我们可以说他有两类方法，一种是他的executeUpdate方法，即会更改表中数据的方法，一种是executeQuery方法，即会查询表中数据的方法。下边给大家详细聊一聊这两类方法

预处理对象executeUpdate方法

通过预处理对象的executeUpdate方法，完成记录的insert\update\delete语句的执行。操作格式统一如下：

1. 注册驱动

2. 获取连接

3. 获取预处理对象

4. SQL语句占位符设置实际参数

5. 执行SQL语句

6. 释放资源

1.1.1插入记录：insert

实现向分类表中插入指定的新分类

publicvoid demo01() throws Exception {

// 1注册驱动

Class.forName("com.mysql.jdbc.Driver");

// 2获取连接

Connection conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");

// 3获得预处理对象

String sql = "insert into sort(sname) values(?)";

PreparedStatement stat = conn.prepareStatement(sql);

// 4 SQL语句占位符设置实际参数

stat.setString(1, "奢侈品");

// 5执行SQL语句

int line = stat.executeUpdate();

System.out.println("新添加记录数：" + line);

// 6释放资源

stat.close();

}

1.1.2更新记录：update

实现更新分类表中指定分类ID所对应记录的分类名称

publicvoid demo02() throws Exception {

// 1注册驱动

Class.forName("com.mysql.jdbc.Driver");

// 2获取连接

Connection conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");

// 3获得预处理对象中

String sql = "update sort set sname=? where sid=?";

PreparedStatement stat = conn.prepareStatement(sql);

// 4 SQL语句占位符设置实际参数

stat.setString(1, "数码产品");

stat.setInt(2, 1);

// 5执行SQL语句

int line = stat.executeUpdate();

System.out.println("更新记录数：" + line);

// 6释放资源

stat.close();

}

1.1.3删除记录：delete

实现删除分类表中指定分类ID的记录

publicvoid demo03() throws Exception {

// 1注册驱动

Class.forName("com.mysql.jdbc.Driver");

// 2获取连接

Connection conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");

// 3获得预处理对象

String sql = "delete from sort where sid=?";

PreparedStatement stat = conn.prepareStatement(sql);

// 4 SQL语句占位符设置实际参数

stat.setInt(1, 1);

// 5执行SQL语句

int line = stat.executeUpdate();

System.out.println("删除记录数：" + line);

// 6释放资源

stat.close();

conn.close();

}

预处理对象executeQuery方法

通过预处理对象的executeQuery方法，完成记录的select语句的执行。操作格式统一如下：

1. 注册驱动

2. 获取连接

3. 获取预处理对象

4. SQL语句占位符设置实际参数

5. 执行SQL语句

6. 处理结果集(遍历结果集合)

7. 释放资源

1.1.4查询记录：select

实现查询分类表所有记录

publicvoid demo04() throws Exception {

// 1注册驱动

Class.forName("com.mysql.jdbc.Driver");

// 2获取连接

Connection conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");

// 3获得预处理对象

String sql = "select * from sort";

PreparedStatement stat = conn.prepareStatement(sql);

// 4 SQL语句占位符设置实际参数

// 5执行SQL语句

ResultSet rs = stat.executeQuery();

// 6处理结果集(遍历结果集合)

while( rs.next() ){

//获取当前行的分类ID

String sid = rs.getString("sid");//方法参数为数据库表中的列名

//获取当前行的分类名称

String sname = rs.getString("sname");

//显示数据

System.out.println(sid+"-----"+sname);

}

// 7释放资源

rs.close();

stat.close();

conn.close();

}

实现查询分类表中指定分类名称的记录

publicvoid demo05() throws Exception {

// 1注册驱动

Class.forName("com.mysql.jdbc.Driver");

// 2获取连接

Connection conn= DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");

// 3获得预处理对象

String sql = "select * from sort where sname=?";

PreparedStatement stat = conn.prepareStatement(sql);

// 4 SQL语句占位符设置实际参数

stat.setString(1, "奢侈品");

// 5执行SQL语句

ResultSet rs = stat.executeQuery();

// 6处理结果集(遍历结果集合)

while( rs.next() ){

//获取当前行的分类ID

String sid = rs.getString("sid");//方法参数为数据库表中的列名

//获取当前行的分类名称

String sname = rs.getString("sname");

//显示数据

System.out.println(sid+"-----"+sname);

}

// 7释放资源

rs.close();

stat.close();

conn.close(); }