目录
4. 使用 PreparedStatement 防止 SQL 注入
JDBC(Java Database Connectivity)是 Java 提供的数据库访问技术,它允许 Java 程序通过 SQL 语句与数据库进行交互。通过 JDBC,开发者能够实现常见的数据库操作,如增、删、改、查等。在这篇文章中,我们将深入探讨如何使用 JDBC 连接数据库,并执行各种常见的数据库操作。
一、JDBC 简介
JDBC 是 Java 语言提供的标准接口,允许开发者与各种关系型数据库系统(如 MySQL、Oracle、SQL Server 等)进行交互。JDBC 本质上是一组 Java API,它定义了如何执行 SQL 语句、更新数据、查询结果等操作。
在 JDBC 中,我们主要通过以下几个步骤进行数据库操作:
- 加载数据库驱动:通过
Class.forName()或使用数据源自动加载数据库驱动。- 建立连接:使用
DriverManager.getConnection()获取数据库连接。- 执行 SQL 语句:使用
Statement或PreparedStatement执行 SQL 语句。- 处理结果集:通过
ResultSet处理查询结果。- 关闭资源:关闭
Connection、Statement和ResultSet等资源。
二、JDBC 环境准备
1. 添加 JDBC 驱动
首先,确保在你的 Java 项目中添加了适合你所使用数据库的 JDBC 驱动。如果你使用的是 Maven 构建工具,可以在 pom.xml 文件中加入依赖:
对于 MySQL 数据库:
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>8.0.26</version>
</dependency>
对于 Oracle 数据库,可能需要下载 .jar 文件并手动添加到项目的 lib 目录中。
2. 创建数据库
假设我们使用 MySQL 数据库,首先在数据库中创建一个简单的表 users,该表包含 id、name 和 age 三个字段。你可以通过以下 SQL 语句创建数据库和表:
CREATE DATABASE testdb;
USE testdb;
CREATE TABLE users (
id INT AUTO_INCREMENT PRIMARY KEY,
name VARCHAR(100) NOT NULL,
age INT NOT NULL
);
INSERT INTO users (name, age) VALUES ('Alice', 30), ('Bob', 25), ('Charlie', 35);
三、JDBC 编程步骤
1. 加载数据库驱动
在 Java 中连接数据库时,首先需要加载数据库驱动。在 JDBC 中,我们可以通过 Class.forName() 方法加载驱动类。对于 MySQL 数据库,驱动类是 com.mysql.cj.jdbc.Driver。
try {
Class.forName("com.mysql.cj.jdbc.Driver"); // 加载 MySQL 驱动
System.out.println("数据库驱动加载成功");
} catch (ClassNotFoundException e) {
e.printStackTrace();
System.out.println("数据库驱动加载失败");
}
2. 获取数据库连接
连接数据库是通过 DriverManager.getConnection() 方法实现的。在获取连接时,我们需要提供数据库的 URL、用户名和密码。连接 URL 的格式通常如下:
jdbc:mysql://localhost:3306/testdb
代码示例:
String url = "jdbc:mysql://localhost:3306/testdb";
String user = "root"; // 数据库用户名
String password = "password"; // 数据库密码
Connection conn = null;
try {
conn = DriverManager.getConnection(url, user, password);
System.out.println("数据库连接成功");
} catch (SQLException e) {
e.printStackTrace();
System.out.println("数据库连接失败");
}
3. 创建 Statement 对象并执行 SQL
一旦获得数据库连接,就可以通过 Connection 对象创建 Statement 或 PreparedStatement 来执行 SQL 语句。我们来看一个查询操作的例子,查询 users 表中的所有用户信息:
String query = "SELECT * FROM users";
Statement stmt = null;
ResultSet rs = null;
try {
stmt = conn.createStatement();
rs = stmt.executeQuery(query);
while (rs.next()) {
int id = rs.getInt("id");
String name = rs.getString("name");
int age = rs.getInt("age");
System.out.println("ID: " + id + ", Name: " + name + ", Age: " + age);
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
// 关闭资源
try {
if (rs != null) rs.close();
if (stmt != null) stmt.close();
if (conn != null) conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
4. 使用 PreparedStatement 防止 SQL 注入
PreparedStatement 是 Statement 的一种增强版,它可以提高执行效率并防止 SQL 注入。在执行带参数的 SQL 语句时,应该优先使用 PreparedStatement。
例如,插入一个新用户的 SQL 语句:
String insertQuery = "INSERT INTO users (name, age) VALUES (?, ?)";
PreparedStatement pstmt = null;
try {
pstmt = conn.prepareStatement(insertQuery);
pstmt.setString(1, "David"); // 设置第一个参数为 "David"
pstmt.setInt(2, 40); // 设置第二个参数为 40
int rowsAffected = pstmt.executeUpdate();
System.out.println("插入成功,受影响的行数:" + rowsAffected);
} catch (SQLException e) {
e.printStackTrace();
} finally {
try {
if (pstmt != null) pstmt.close();
if (conn != null) conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
5. 事务管理
在 JDBC 中,可以使用事务来确保多个数据库操作的原子性。默认情况下,JDBC 使用自动提交模式,但你可以禁用自动提交来手动管理事务。以下是一个使用事务的示例:
try {
conn.setAutoCommit(false); // 禁用自动提交
String updateQuery1 = "UPDATE users SET age = 26 WHERE name = 'Bob'";
String updateQuery2 = "UPDATE users SET age = 36 WHERE name = 'Charlie'";
stmt = conn.createStatement();
stmt.executeUpdate(updateQuery1);
stmt.executeUpdate(updateQuery2);
conn.commit(); // 提交事务
System.out.println("事务提交成功");
} catch (SQLException e) {
try {
if (conn != null) {
conn.rollback(); // 回滚事务
System.out.println("事务回滚");
}
} catch (SQLException ex) {
ex.printStackTrace();
}
e.printStackTrace();
} finally {
try {
if (stmt != null) stmt.close();
if (conn != null) conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
6. 异常处理和关闭资源
在 JDBC 编程中,异常处理非常重要,因为数据库操作可能会出现各种问题。我们可以使用 try-catch-finally 块来确保资源得到正确释放。所有的数据库连接、Statement 和 ResultSet 都应该在使用完毕后关闭。
四、完整示例
下面是一个完整的 JDBC 示例程序,包括连接数据库、查询、插入、更新、删除操作:
import java.sql.*;
public class JDBCExample {
public static void main(String[] args) {
String url = "jdbc:mysql://localhost:3306/testdb";
String user = "root";
String password = "password";
Connection conn = null;
Statement stmt = null;
ResultSet rs = null;
try {
conn = DriverManager.getConnection(url, user, password);
stmt = conn.createStatement();
// 查询操作
String query = "SELECT * FROM users";
rs = stmt.executeQuery(query);
while (rs.next()) {
System.out.println("ID: " + rs.getInt("id") + ", Name: " + rs.getString("name") + ", Age: " + rs.getInt("age"));
}
// 插入操作
String insertQuery = "INSERT INTO users (name, age) VALUES ('Eve', 28)";
stmt.executeUpdate(insertQuery);
// 更新操作
String updateQuery = "UPDATE users SET age = 29 WHERE name = 'Eve'";
stmt.executeUpdate(updateQuery);
// 删除操作
String deleteQuery = "DELETE FROM users WHERE name = 'Eve'";
stmt.executeUpdate(deleteQuery);
} catch (SQLException e) {
e.printStackTrace();
} finally {
try {
if (rs != null) rs.close();
if (stmt != null) stmt.close();
if (conn != null) conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}