mysql创建class表
往数据库中使用代码插入一条数据
step1.创建DataSource
DataSource dataSource = new MysqlDataSource();((MysqlDataSource)dataSource).setUrl("jdbc:mysql://127.0.0.1:3306/java109?characterEncoding=utf8&usessL=false");((MysqlDataSource)dataSource).setUser("root");((MysqlDataSource)dataSource).setPassword("123456");使用java.sql包下的DataSource
//1.先创建 DataSource
DataSource dataSource=new MysqlDataSource();
((MysqlDatasource)datasource).setUrl()不直接使用 MysqlDataSource new一个对象,是防止其扩散,实现低耦合
setUrl里面路径的解释
连接上MySQL服务器
((MysqlDataSource)dataSource).setUrl(
"jdbc:mysql://127.0.0.1:3306/java109
?characterEncoding=utf8&usessL=false");找到用户名和密码
((MysqlDataSource)dataSource).setUser("root");((MysqlDataSource)dataSource).setPassword("123456");step2.和数据库建立连接
选择Connection包
处理getConnection异常
选择Connection包
step3.构造sql
java中不需要写分号(;)
PreparedStatement
使用?占位符输入
step4.把sql发送到服务器
n 代表着影响着几行
step5.释放资源,关闭连接
释放顺序 (后写的先释放-记得是这样)
完整代码
import com.mysql.jdbc.jdbc2.optional.MysqlDataSource;import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Scanner;// 通过这个代码, 往数据库的表中, 插入一行记录.
public class Demo1 {public static void main(String[] args) throws SQLException {Scanner scanner = new Scanner(System.in);System.out.println("请输入学号: ");int id = scanner.nextInt();System.out.println("请输入姓名: ");String name = scanner.next();// 1. 先创建 DataSourceDataSource dataSource = new MysqlDataSource();((MysqlDataSource) dataSource).setUrl("jdbc:mysql://127.0.0.1:3306/java109?characterEncoding=utf8&useSSL=false");((MysqlDataSource) dataSource).setUser("root");((MysqlDataSource) dataSource).setPassword("2222");// 2. 建立和数据库服务器之间的连接. 连接好了之后, 才能进行后续的 请求-响应 交互.Connection connection = dataSource.getConnection();// 3. 构造 sql (代码中的 sql 不需要写 ; )// String sql = "insert into student values(" + id + ", '" + name + "')";// String sql = "delete from student where id = 1";// String sql = "update student set name = '张三' where id = 100";String sql = "insert into student values(?, ?)";PreparedStatement statement = connection.prepareStatement(sql);statement.setInt(1, id);statement.setString(2, name);System.out.println("sql = " + statement);// 4. 把 sql 发给服务器. 返回值是一个整数, 表示影响到的行数.int n = statement.executeUpdate();System.out.println("n = " + n);// 5. 释放资源, 关闭连接. 释放顺序, 是后获取到的资源, 先释放.statement.close();connection.close();}
}陌生知识
PrepareStatement
PreparedStatement是 Java 中用于执行预编译 SQL 语句的接口,它是 JDBC(Java Database Connectivity)的一部分,主要有以下作用和特点:
一、提高性能
- 预编译 SQL 语句:
- 当使用
PreparedStatement时,数据库会预先编译 SQL 语句的模板,这个模板中可以包含占位符(通常用?表示)。这样,对于相同结构的 SQL 语句,数据库只需要编译一次,后续只需要将具体的值替换到占位符中执行即可。 - 例如,对于一个插入用户信息的 SQL 语句
INSERT INTO users (name, age) VALUES (?,?),数据库首先对这个语句模板进行编译,而不是每次插入不同用户信息时都重新编译整个 SQL 语句。
- 当使用
- 减少编译次数:
- 在执行大量类似 SQL 语句的情况下,相比使用普通的
Statement,PreparedStatement可以大大减少数据库的编译开销,从而提高性能。比如在一个循环中多次执行插入操作,如果使用Statement,每次循环都要编译不同的 SQL 语句(即使语句结构相似,只是具体值不同),而PreparedStatement只需编译一次模板。
- 在执行大量类似 SQL 语句的情况下,相比使用普通的
二、防止 SQL 注入
- 自动处理特殊字符:
PreparedStatement会自动对传入的参数值进行转义处理,使得恶意用户无法通过输入特殊的 SQL 片段来篡改原本的 SQL 语句意图。- 例如,如果用户输入的用户名中包含了可能被解释为 SQL 命令的字符,
PreparedStatement会将其视为普通数据进行处理,而不会将其误解为 SQL 代码的一部分。
- 安全的参数设置:
- 通过
setXxx方法(如setString、setInt等)来设置参数值,而不是将参数值直接拼接在 SQL 字符串中。这样可以确保参数值被正确地处理和传递给数据库,避免了 SQL 注入攻击的风险。比如,以下代码是正确使用PreparedStatement防止 SQL 注入的示例:
- 通过
String sql = "SELECT * FROM users WHERE username =? AND password =?";PreparedStatement pstmt = connection.prepareStatement(sql);pstmt.setString(1, username);pstmt.setString(2, password);ResultSet rs = pstmt.executeQuery();
- 在这里,即使攻击者试图在
username或password中输入恶意的 SQL 代码,PreparedStatement也会将其作为普通数据处理,不会执行恶意代码。
三、代码可读性和可维护性
- 清晰的代码结构:
- 使用
PreparedStatement时,代码结构更加清晰和易于理解。将 SQL 语句和参数设置分开,使得代码逻辑更加清晰。 - 例如,上述防止 SQL 注入的代码示例中,首先定义了 SQL 语句模板,然后清晰地设置了两个参数的值,相比于将参数直接拼接在 SQL 字符串中,这样的代码更容易阅读和维护。
- 使用
- 方便的参数设置:
PreparedStatement提供了一系列的setXxx方法来设置不同类型的参数,这些方法的命名规范且易于使用。可以根据参数的实际类型选择合适的方法,避免了手动进行类型转换和字符串拼接的繁琐过程。例如,对于不同类型的参数设置代码如下:
// 设置字符串类型参数pstmt.setString(1, "John");// 设置整数类型参数pstmt.setInt(2, 30);// 设置日期类型参数pstmt.setDate(3, new java.sql.Date(someDate.getTime()));
- 这样的代码使得参数设置更加规范和方便,提高了代码的可维护性。
