1.JDBC介绍

Java数据库连接（Java Database Connectivity，JDBC）是SUN公司为了简化、统一对数据库的操作，定义的一套Java操作数据库的规范（接口）。这套接口由数据库厂商去实现，这样，开发人员只需要学习JDBC接口，并通过JDBC加载具体的驱动，就可以操作数据库。

2.JDBC程序：

一个基本的JDBC程序如下所示：

java">    public static void main(String[] args) throws ClassNotFoundException, SQLException {//1.加载驱动Class.forName("com.mysql.jdbc.Driver"); //固定写法//2.用户信息和urlString url = "jdbc:mysql://localhost:3306/jdbcstudy?useUnicode=true&characterEncoding=utf8&useSSL=true";String username = "root";String password = "123456";//3.连接成功，数据库对象  Connection代表数据库Connection connection = DriverManager.getConnection(url,username,password);//4.执行SQL的对象    statement代表执行sql的对象Statement statement = connection.createStatement();//5.执行SQL的对象去执行SQL，可能存在结果，查看返回结果String sql = "SELECT * FROM users";ResultSet resultSet = statement.executeQuery(sql);  //返回的结果集,查询到的所有结果都存在这里while (resultSet.next()){System.out.println("id="+resultSet.getObject("id"));System.out.println("name="+resultSet.getObject("NAME"));System.out.println("password="+resultSet.getObject("PASSWORD"));System.out.println("email="+resultSet.getObject("email"));System.out.println("birthday="+resultSet.getObject("birthday"));System.out.println("===================================");}//6.释放链接resultSet.close();statement.close();connection.close();}

3.使用jdbc对数据库增删改查

在JDBC操作中，我们可以将数据库的驱动等信息存入一个配置文件中，并创建一个util工具类，存入一些方法，以后每次对数据库操作调入该方法即可。这样可以使我们的代码更加简洁。具体步骤如下：
（1）创建db.properties文件。

driver=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/jdbcStudy?
useUnicode=true&characterEncoding=utf8&useSSL=true
username=root
password=123456

（2）新建一个Util工具类。

java">public class JdbcUtils {private static String driver = null;private static String url = null;private static String username = null;private static String password = null;static {try {InputStream in = JdbcUtils.class.getClassLoader().getResourceAsStream("db.properties");Properties properties = new Properties();properties.load(in);driver = properties.getProperty("driver");url = properties.getProperty("url");username = properties.getProperty("username");password = properties.getProperty("password");//1.驱动只加载一次Class.forName(driver);}catch (IOException | ClassNotFoundException e){e.printStackTrace();}}//获取链接对象public static Connection getConnection() throws SQLException {return DriverManager.getConnection(url,username,password);}//释放资源public static void release(Connection conn, Statement st, ResultSet rs){if(rs!=null){try {rs.close();} catch (SQLException e) {e.printStackTrace();}}if(st!=null){try {st.close();} catch (SQLException e) {e.printStackTrace();}}if(conn!=null){try {conn.close();} catch (SQLException e) {e.printStackTrace();}}}
}

（3）对数据进行增删改查操作。

java">    public static void main(String[] args) {Connection conn = null;Statement st = null;ResultSet rs = null;try {conn = JdbcUtils.getConnection();//获取数据库链接st = conn.createStatement();//获得SQL的执行对象String sql = "UPDATE users SET `NAME`='zhangsansan',`email`='1231414@163.com' WHERE id=1";int i = st.executeUpdate(sql);if(i > 0){System.out.println("更新成功!");}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,rs);}}

4.SQL注入问题

我们编写如下代码，模拟一个登录操作。

java">    public static void main(String[] args) {//login("lisi","123456");//正常登录login("'or '1=1","'or '1=1");//技巧}public static void login(String username,String password){Connection conn = null;Statement st = null;ResultSet rs = null;try {conn = JdbcUtils.getConnection();st = conn.createStatement();String sql = "select * from users where `NAME` ='"+username+"'AND `PASSWORD`='"+password+"'";rs = st.executeQuery(sql);//查询完毕会返回一个结果集while(rs.next()){System.out.println(rs.getString("NAME"));System.out.println(rs.getString("PASSWORD"));}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,rs);}}

上述代码中，正常输入用户名和密码：lisi 123456即可访问数据库中数据。但是如果用户在输入用户名和密码的位置输入代码中login()的参数：'or '1=1","'or '1=1，也可以实现访问数据库，这就导致了我们的程序不够安全。
login方法传入的这个参数和sql语句拼接后的结果为：
select * from users where NAME = ’ ’ or ‘1=1’ AND PASSWORD= ’ 'or '1=1’。这个语句是可以查询成功的。
即通过巧妙的技巧来拼接字符串，造成SQL短路，从而获取数据库数据。这就是SQL注入问题。
解决办法：

PreperedStatement是Statement的子类，它的实例对象可以通过调用Connection.preparedStatement()方法获得，相对于Statement对象而言：PreperedStatement可以避免SQL注入的问题。

Statement会使数据库频繁编译SQL，可能造成数据库缓冲区溢出。PreparedStatement可对SQL进行预编译，从而提高数据库的执行效率。并且PreperedStatement对于sql中的参数，允许使用占位符的形式进行替换，简化sql语句的编写。

使用 PreperedStatemen对象解决注入问题实例如下：

java">    public static void main(String[] args) {login("lisi","111111");//正常登录//login("'or '1=1","'or '1=1");//技巧无法成功}public static void login(String username,String password){Connection conn = null;PreparedStatement st = null;ResultSet rs = null;try {conn = JdbcUtils.getConnection();//PreparedStatement防止sql注入的本质，把传递进来的参数当做字符//加上其中存在转译字符，比如说'会被直接定义String sql = "select * from users where `NAME` = ? AND `PASSWORD`= ?";st = conn.prepareStatement(sql);st.setString(1,username);st.setString(2,password);rs = st.executeQuery();//查询完毕会返回一个结果集while(rs.next()){System.out.println(rs.getString("NAME"));System.out.println(rs.getString("PASSWORD"));}} catch (SQLException e) {e.printStackTrace();} finally {JdbcUtils.release(conn,st,rs);}}

5.事务

在JDBC中实现对事务的测试，从而加深对事务的理解。
ABC三个人的账户各有1000块，现在模拟A给B转账100块钱。首先需要先从A的账户扣除100元，随后再在B的账户中增加100元。
若全部执行成功，事务提交，两条SQL语句生效。如果中间某个环节出现错误，那么事务回滚，所有的SQL语句都不生效。
（1）新建一个account表:

id	NAME	money
1	A	800
2	B	1200
3	C	1000

（2）执行JDBC代码。

java">    public static void main(String[] args) {Connection conn = null;PreparedStatement st = null;ResultSet rs= null;try {conn= JdbcUtils.getConnection();//关闭数据库的自动提交，自动会开启事务conn.setAutoCommit(false);//开启事务String sql1 = "update account set money = money-100 where name = 'A'";st = conn.prepareStatement(sql1);st.executeUpdate();//int x = 1/0;//报错String sql2 = "update account set money = money+100 where name = 'B'";st = conn.prepareStatement(sql2);st.executeUpdate();//业务完毕，提交事务conn.commit();System.out.println("成功！");} catch (SQLException e) {try {conn.rollback();//如果失败，回滚} catch (SQLException e1) {e1.printStackTrace();}e.printStackTrace();} finally {JdbcUtils.release(conn,st,rs);}}

代码执行成功，A减少100元，B增加100元。

（3）现在在代码中模拟植入一个错误，在A的账户扣除100元后执行一个会出错的代码，看看A是否会真的扣除100元。

java">package com.kuang.lesson04;import com.kuang.lesson02.utils.JdbcUtils;import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;public class TestTransaction1 {public static void main(String[] args) {Connection conn = null;PreparedStatement st = null;ResultSet rs= null;try {conn= JdbcUtils.getConnection();//关闭数据库的自动提交，自动会开启事务conn.setAutoCommit(false);//开启事务String sql1 = "update account set money = money-100 where name = 'A'";st = conn.prepareStatement(sql1);st.executeUpdate();int x = 1/0;//报错String sql2 = "update account set money = money+100 where name = 'B'";st = conn.prepareStatement(sql2);st.executeUpdate();//业务完毕，提交事务conn.commit();System.out.println("成功！");} catch (SQLException e) {try {conn.rollback();//如果失败，回滚} catch (SQLException e1) {e1.printStackTrace();}e.printStackTrace();} finally {JdbcUtils.release(conn,st,rs);}}
}

执行结果如下，程序执行失败。


数据库中A和B的账户都没有发生变化，说明事务回滚成功。