小鲁哥哥白话笔记-JDBC（API使用）

前一章里我们让大家对JDBC的api有了一些了解，今天我们就聊一聊如何使用JDBC。首先我们就聊一聊JDBC的注入问题：

SQL注入问题

假设有登录案例SQL语句如下:

SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;

此时，当用户输入正确的账号与密码后，查询到了信息则让用户登录。但是当用户输入的账号为XXX 密码为：XXX’  OR ‘a’=’a时，则真正执行的代码变为：

SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ’a’=’a’;

此时，上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了，显然我们不希望看到这样的结果，这便是SQL注入问题。

为此，我们使用PreparedStatement来解决对应的问题。

那么PreparedStatement是一个什么类呢，它起到了什么作用，下面给大家详细的聊一聊它是什么，他有什么作用：

使用PreparedStatement预处理对象时，建议每条sql语句所有的实际参数，都使用逗号分隔。

String sql = "insert into sort(sid,sname) values(?,?)";;

PreparedStatement预处理对象代码：

PreparedStatement psmt = conn.prepareStatement(sql)

        常用方法：

1. 执行SQL语句:

l int executeUpdate(); --执行insert update delete语句.

l ResultSet executeQuery(); --执行select语句.

l boolean execute(); --执行select返回true 执行其他的语句返回false.

2. 设置实际参数

l void setXxx(int index, Xxx xx) 将指定参数设置为给定Java的xx值。在将此值发送到数据库时，驱动程序将它转换成一个 SQL Xxx类型值。

例如：

setString(2, "家用电器") 把SQL语句中第2个位置的占位符？ 替换成实际参数 "家用电器"

预处理对象我们可以说他有两类方法，一种是他的executeUpdate方法，即会更改表中数据的方法，一种是executeQuery方法，即会查询表中数据的方法。下边给大家详细聊一聊这两类方法预处理对象executeUpdate方法

通过预处理对象的executeUpdate方法，完成记录的insert\update\delete语句的执行。操作格式统一如下：

        1. 注册驱动

        2. 获取连接

        3. 获取预处理对象

        4. SQL语句占位符设置实际参数

        5. 执行SQL语句

        6. 释放资源

插入记录：insert

l 实现向分类表中插入指定的新分类

[Java] 纯文本查看 复制代码

public void demo01() throws Exception {
// 1注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
// 3获得预处理对象
String sql = "insert into sort(sname) values(?)";
PreparedStatement stat = conn.prepareStatement(sql);
// 4 SQL语句占位符设置实际参数
stat.setString(1, "奢侈品");
// 5执行SQL语句
int line = stat.executeUpdate();
System.out.println("新添加记录数：" + line);
// 6释放资源
stat.close();
conn.close();
}

更新记录：update

l 实现更新分类表中指定分类ID所对应记录的分类名称

[Java] 纯文本查看 复制代码

public void demo02() throws Exception {
// 1注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
// 3获得预处理对象中
String sql = "update sort set sname=? where sid=?";
PreparedStatement stat = conn.prepareStatement(sql);
// 4 SQL语句占位符设置实际参数
stat.setString(1, "数码产品");
stat.setInt(2, 1);
// 5执行SQL语句
int line = stat.executeUpdate();
System.out.println("更新记录数：" + line);
// 6释放资源
stat.close();
conn.close();
}

删除记录：delete

l 实现删除分类表中指定分类ID的记录

[Java] 纯文本查看 复制代码

public void demo03() throws Exception {
// 1注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
// 3获得预处理对象
String sql = "delete from sort where sid=?";
PreparedStatement stat = conn.prepareStatement(sql);
// 4 SQL语句占位符设置实际参数
stat.setInt(1, 1);
// 5执行SQL语句
int line = stat.executeUpdate();
System.out.println("删除记录数：" + line);
// 6释放资源
stat.close();
conn.close();
}

预处理对象executeQuery方法

通过预处理对象的executeQuery方法，完成记录的select语句的执行。操作格式统一如下：

        1. 注册驱动

        2. 获取连接

        3. 获取预处理对象

        4. SQL语句占位符设置实际参数

        5. 执行SQL语句

        6. 处理结果集(遍历结果集合)

        7. 释放资源

查询记录：select

l 实现查询分类表所有记录

[Java] 纯文本查看 复制代码

public void demo04() throws Exception {
// 1注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
// 3获得预处理对象
String sql = "select * from sort";
PreparedStatement stat = conn.prepareStatement(sql);
// 4 SQL语句占位符设置实际参数
// 5执行SQL语句
ResultSet rs = stat.executeQuery();
// 6处理结果集(遍历结果集合)
while( rs.next() ){
//获取当前行的分类ID
String sid = rs.getString("sid");//方法参数为数据库表中的列名
//获取当前行的分类名称
String sname = rs.getString("sname");
//显示数据
System.out.println(sid+"-----"+sname);
}
// 7释放资源
rs.close();
stat.close();
conn.close();
}

l 实现查询分类表中指定分类名称的记录

[Java] 纯文本查看 复制代码

public void demo05() throws Exception {
// 1注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
// 3获得预处理对象
String sql = "select * from sort where sname=?";
PreparedStatement stat = conn.prepareStatement(sql);
// 4 SQL语句占位符设置实际参数
stat.setString(1, "奢侈品");
// 5执行SQL语句
ResultSet rs = stat.executeQuery();
// 6处理结果集(遍历结果集合)
while( rs.next() ){
//获取当前行的分类ID
String sid = rs.getString("sid");//方法参数为数据库表中的列名
//获取当前行的分类名称
String sname = rs.getString("sname");
//显示数据
System.out.println(sid+"-----"+sname);
}
// 7释放资源
rs.close();
stat.close();
conn.close();
}

点进这个帖子的同学肯定是要奋发图强，学技术拿高薪的有志青年，这里我看你骨骼惊奇，是个绝世的练武奇才，你我有缘，今天我就把这个武林秘籍如来神掌传授于你！ 什么？不想学如来神掌？不要紧！这里有各个门派的武林绝学，链接拿好！！哈哈哈哈

     【黑马程序员济南】小鲁哥哥全学科技术整合帖（一贴在手！天下我有！）

如果你想了解更多黑马课程，如果你想加入黑马这个大家庭学习先进技术，光交天下好友，那就快来吧！
     黑马程序员济南中心联系电话：0531-55696830

收藏了一个