JDBC工具类的三个版本
一、JDBC连接数据库的7个步骤
1、加载驱动
2、获取连接
3、编写sql
4、获取执行sql的stmt对象
有两种 stmt(存在sql注入问题 字符串拼接) pstmt(预编译可以防止sql注入)
5、执行sql 拿到结果集
6、遍历结果集
7、关闭资源(按倒序关闭,资源先开的后关,后开的先关)
主方法程序实例
package com.qcby.dao;import com.qcby.model.Account;
import com.qcby.utils.JdbcUtils;import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class JdbcSelect {public static void main(String[] args) {Connection connection =null;Statement statement=null;ResultSet resultSet=null;try {//建立连接connection= JdbcUtils.getConnection();//编写sqlString sql="select * from account";//获取执行sql的statement对象statement=connection.createStatement();//执行sql拿到结果集resultSet=statement.executeQuery(sql);//遍历结果集while (resultSet.next()){Account account=new Account();account.setId(resultSet.getInt("id"));account.setName(resultSet.getString("name"));account.setMoney(resultSet.getDouble("money"));System.out.println(account);}} catch (SQLException e) {e.printStackTrace();}finally {//关闭资源JdbcUtils.close(connection,resultSet,statement);}}}
二、JDBC工具类的三个版本
上述的7个步骤中可以将加载驱动、获取连接和关闭资源抽取出来从而简化代码。
1.0版本
- 所有数据库连接信息直接写在代码里(地址、账号密码都固定)
- 每次要连接数据库时都新建一个连接
- 用完就直接扔掉,下次再用再新建
package com.qcby.utils;import org.gjt.mm.mysql.Driver;import java.io.InputStream;
import java.sql.*;
import java.util.Properties;//JDBC工具类,减少代码
public class JdbcUtils {//1、加载驱动public static void createSDriver(){try {//2种 直接调用方法// DriverManager.registerDriver(new Driver());DriverManager.registerDriver(new Driver());//反射加载//Class.forName(driverclass); // MySQL 8.0+驱动}catch (SQLException e){e.printStackTrace();}}//2、获取连接public static Connection getConnection(){Connection connection=null;try {//1、加载驱动createSDriver();//2、获取连接connection= DriverManager.getConnection("jdbc:mysql:///spring_db","root","12345");}catch (SQLException e){e.printStackTrace();}return connection;}//3、关闭连接,方法重载public static void close(Connection connection, ResultSet resultSet,Statement statement){try {resultSet.close();statement.close();connection.close();} catch (SQLException e) {e.printStackTrace();}}//3、关闭连接public static void close(Connection connection,Statement statement){try {statement.close();connection.close();} catch (SQLException e) {e.printStackTrace();}}}
2.0版本
- 把数据库信息移到单独的配置文件里(db.properties)
- 想改数据库地址或密码时,不用改代码,改配置文件就行
- 但还是每次新建连接,用完就扔
编写properties属性文件,程序就可以读取属性文件
driverclass=com.mysql.jdbc.Driver
url=jdbc:mysql:///spring_db
username=root
password=12345package com.qcby.utils;import java.io.IOException;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;public class JdbcUtil3 {private static final String driverclass;private static final String url;private static final String username;private static final String password;static{// 加载属性文件Properties pro = new Properties();InputStream inputStream = JdbcUtil3.class.getResourceAsStream("/db.properties");try {// 加载属性文件pro.load(inputStream);} catch (IOException e) {e.printStackTrace();}// 给常量赋值driverclass = pro.getProperty("driverclass");url = pro.getProperty("url");username = pro.getProperty("username");password = pro.getProperty("password");}/*** 加载驱动*/public static void loadDriver(){try {// 加载驱动类Class.forName(driverclass);} catch (ClassNotFoundException e) {e.printStackTrace();}}/*** 加载完驱动,获取到连接,返回连接对象* @return*/public static Connection getConnection(){// 加载驱动loadDriver();// 获取到连接对象,返回Connection conn = null;try {// 获取到连接conn = DriverManager.getConnection(url,username,password);} catch (SQLException e) {e.printStackTrace();}return conn;}/*** 关闭资源* @param conn* @param stmt* @param rs*/public static void close(Connection conn, Statement stmt, ResultSet rs){if(rs != null){try {rs.close();} catch (SQLException e) {e.printStackTrace();}}if(stmt != null){try {stmt.close();} catch (SQLException e) {e.printStackTrace();}}if(conn != null){try {conn.close();} catch (SQLException e) {e.printStackTrace();}}}/*** 关闭资源* @param conn* @param stmt*/public static void close(Connection conn, Statement stmt){if(stmt != null){try {stmt.close();} catch (SQLException e) {e.printStackTrace();}}if(conn != null){try {conn.close();} catch (SQLException e) {e.printStackTrace();}}}
}
3.0版本
什么是连接池
连接池技术通过复用数据库连接,显著提升了系统性能。以电商库存系统为例,当100个用户同时购买商品时:
传统方式需要100次连接创建和销毁,消耗大量资源。而使用连接池(如配置10个连接)后:
-
系统启动时预先建立10个连接
-
前10个请求直接获取现有连接
-
使用后连接归还而非销毁
-
后续请求复用这些连接
这就像物业管理:
-
传统方式:每次有访客都现场配钥匙,离开就销毁
-
连接池方式:预先准备10把钥匙,访客使用后归还
代码
使用druid.properties配置文件管理连接池参数
连接从连接池获取而非每次新建
- 使用Druid连接池,预先创建一批连接放着
- 需要用时直接从池子里拿,用完放回去
- 可以控制最多准备多少连接、最少留多少
- 优势:速度快(不用每次都新建)、省资源(连接可以重复用)、还能防漏水(连接泄漏检测)
driverClassName=com.mysql.jdbc.Driver
url=jdbc:mysql:///spring_db
username=root
password=12345
initialSize=5
maxActive=10
maxWait=3000
maxIdle=6
minIdle=3package com.qcby.utils;import com.alibaba.druid.pool.DruidDataSourceFactory;import javax.sql.DataSource;
import java.io.InputStream;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;public class JdbcUtils2 {// 连接池对象private static DataSource DATA_SOURCE;static{// 加载属性文件Properties pro = new Properties();InputStream inputStream = JdbcUtils2.class.getResourceAsStream("/druid.properties");try {// 加载属性文件pro.load(inputStream);// 创建连接池对象DATA_SOURCE = DruidDataSourceFactory.createDataSource(pro);} catch (Exception e) {e.printStackTrace();}}/*** 从连接池中获取连接,返回。* @return*/public static Connection getConnection(){Connection conn = null;try {conn = DATA_SOURCE.getConnection();} catch (SQLException e) {e.printStackTrace();}return conn;}/*** 关闭资源* @param conn* @param stmt* @param rs*/public static void close(Connection conn, Statement stmt, ResultSet rs){if(rs != null){try {rs.close();} catch (SQLException e) {e.printStackTrace();}}if(stmt != null){try {stmt.close();} catch (SQLException e) {e.printStackTrace();}}if(conn != null){try {conn.close();} catch (SQLException e) {e.printStackTrace();}}}/*** 关闭资源* @param conn* @param stmt*/public static void close(Connection conn, Statement stmt){if(stmt != null){try {stmt.close();} catch (SQLException e) {e.printStackTrace();}}if(conn != null){try {conn.close();} catch (SQLException e) {e.printStackTrace();}}}
}
测试
package com.qcby.dao;import com.qcby.model.Account;
import com.qcby.utils.JdbcUtils;import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class JdbcSelect {public static void main(String[] args) {Connection connection =null;Statement statement=null;ResultSet resultSet=null;try {//建立连接connection= JdbcUtils.getConnection();//编写sqlString sql="select * from account";//获取执行sql的statement对象statement=connection.createStatement();//执行sql拿到结果集resultSet=statement.executeQuery(sql);//遍历结果集while (resultSet.next()){Account account=new Account();account.setId(resultSet.getInt("id"));account.setName(resultSet.getString("name"));account.setMoney(resultSet.getDouble("money"));System.out.println(account);}} catch (SQLException e) {e.printStackTrace();}finally {JdbcUtils.close(connection,resultSet,statement);}}}
补充:Sql注入问题
想象你开了一家会员制餐厅:
- 正常流程:客人报会员名"张三",你查名单确认后放行
- 注入攻击:客人报会员名"张三' OR '1'='1",你的名单系统会把所有人都放进来!
漏洞是如何产生的 (字符串拼接问题)
String username = "aaa'or'1=1"; // 用户输入
String password = "随便输";
String sql = "SELECT * FROM users WHERE username='"+username+"' AND password='"+password+"'";实际执行的SQL变成:
SELECT * FROM users WHERE username='aaa'or'1=1' AND password='随便输'
'1'='1'永远成立,相当于不需要密码
攻击者常用的花招
1、万能密码
用户名:admin' --
密码:随便
相当于SQL:SELECT * FROM users WHERE username='admin' --' AND password='随便'
--是SQL注释符,后面条件被忽略
2、永远为真:
用户名:aaa'or'1=1
密码:随便
相当于:SELECT * FROM users WHERE username='aaa'or'1=1' AND password='随便'
如何解决sql注入问题
使用PreparedStatement
就像改进后的餐厅检查流程:
- 提前预定格式:会员名必须是一个完整字符串(预编译)
- 严格检查输入:即使用户输入特殊符号,也只当作普通字符
基本格式:
// 获取到连接对象conn = dataSource.getConnection();// 编写SQL语句String sql = "insert into account values (null,?,?)";// 预编译SQL语句stmt = conn.prepareStatement(sql);// 设置值stmt.setString(1,"eee");stmt.setString(2,"1233");// 执行sqlstmt.executeUpdate();为什么使用PreparedStatement安全?
注意:
- 永远不要拼接SQL:就像不要直接吃陌生人给的糖果
- 始终使用PreparedStatement:这是防止SQL注入的最简单有效方法
- 即使参数固定也要用:养成良好的编码习惯