java程序操作数据库,通过JDBC API 来操作
JDBC API 主要功能:
三件事,具体是通过以下类和接口实现
- DriverManager:管理jdbc驱动
- Connect:连接
- Statement(PrepareStatement):增删改查
- CallableStatement:调用数据库中的存储过程、存储函数
- Result:返回的结果集
jdbc是java,所以暂时不用管jsp
javaweb好像就是将java和jsp合起来,就是java+html(web)
把驱动复制到项目中去
然后增加到内路径中,
导入驱动:bulid path-》Add To Build Path
链接字符串
eclipse
异常一个个的抛
JAVA操作数据库的增删改查
增删改一模一样,只需要改一句话即可
先开的后关,后开的先关,类似栈
jdbc总结(模板,八股文)
a,导入驱动包,加载具体驱动类Class.forName(“具体驱动类”);
b,与数据库建立连接
connection=DriverManager.getConnection();
c,通过connection,获取操作数据库的对象(statement、preparestatem,callablestatement)
stmt = connection.createStatement();
d.查询处理结果集rs=pstmt.executeQuery()
while(rs.next()){
rs.getXxx()
}
在抛异常时,有两个异常:
ClassNotFoundException e
SQLException e
一般再加一个基类异常
Exception e
最后还有一个finally,原则,先打开的后关闭,后打开的先关闭
除了classforname抛一个ClassNotFoundException异常,其余的都抛出一个SQLException异常。。
2.CallableStatement:调用 存储过程,存储函数
connection.prepareCall(参数:存储过程或者存储函数名)
参数格式:
存储过程(没有返回值return,用out代替):
{call 存储过程名(参数列表)}
存储函数(有返回值return ){call 存储函数名(参数列表)
要用一个参数来接收这个值}
//创建一个存储过程
create or replace procedure addTwoNum(num1 in number,num2 in number,result out number) --1+2->
as
begin
result := num1+num2;
end;
/
过程已创建。
强调:
如果通过sqlplus访问数据库,只需要开启:OracleServiceSID
通过其他程序访问数据(sqldevelop、navicate、jdbc(这个就是用java,所以现在使用必须开两个)),
需要开启OracleServiceSID、XxxListener这两个服务
jdbc调用存储过程的步骤
1,产生 调用存储过程的对象
(CallableStatement) cstmt = connection.prepareCall(“…”);
2,通过setXxx()处理 输出参数值 cstmt=connection.prepareCall(“…”);
c,通过registerOutParameter(…)处理输出参数类型。
d,cstmt.execute()执行
e,接收输出值(返回值)getXxx()
创建存储函数
create or replace function addTwoNumfunction(num1 in number, num2 in number) -- 1+2 ->3
return number
as
result number;
begin
result := num1+num2;
return result;
end;
/
警告: 创建的函数带有编译错误。
调用存储过程和存储函数的区别很小,就是
一个在调用时, 注意参数的顺序摆放。
preparedStatement和statement
都可进行增删改查
所以推荐用子类preparedstatement
preparestatement的强大之处在于set的预编译
防止注入的危险:
请输入用户名:
abc ' or 1=1 --
请输入密码:
165
登陆成功
stmt存在被sql注入的风险
(例如输入 用户名:任意值 ‘ or 1=1 –
密码:任意值)
分析:
String sql ="select count(*) from lol where name='"+name+"' and pwd ='"+pwd+"' ";
-》
String sql ="select count(*) from lol where name='任意值 ‘ or 1=1 --' and pwd ='任意值' ";
-》
String sql ="select count(*) from lol
即将客户输入的内容,和开发人员的sql语句混为一体
pstmt:可以有效防止注入的发生。
pstmt在遇到变量的时候,直接用一个问号代替。
