JDBC原理分析（包括基本的使用方式和面试题汇总）

JDBC全称又叫做Java DataBase Connectivity，就是Java数据库连接，说白了就是用Java语言来操作数据库。这篇文章主要是对JDBC的原理进行讲解。不会专注于其使用。主要是理解其思想并对一些常见的面试题进行讲解。

一、JDBC原理

既然JDBC主要是用于java连接数据库的，能连接什么数据库没有指定，其实能连接很多种数据库，而且一般来说可以连接oracle和mysql，通常也是这两种。但是既然JDBC能连接这么多的数据库，开发起来太麻烦了，于是sun公司那帮人想出了一个办法，我定义一套规则，大家都按照这个规则来，实现自己公司访问数据库的实现。这套规则就是JDBC，遵循了JDBC规范的，可以访问自己数据库的API被称之为驱动。

所以jdbc是不变的，但是驱动却有很多种。

现在大家应该能理解了这套原理了。其实是很简单。JDBC只是一套规范接口，真正实现的是下面的各种驱动。我们使用一个例子来解释一下。

二、例子演示

在上面那张图里面，基本上也交代出了使用一个数据库的一般步骤。

（1）注册一个驱动

（2）使用驱动和数据库连接

（3）使用连接对象获取操作数据库的执行对象

我们干脆使用代码来实际演示一遍，首先我在数据库里面建了一张person表，并随便插入了两条记录。

 1public class JDBCTest01 {
 2    //数据库地址
 3    private static final String url = "jdbc:mysql://localhost:3306/uav";
 4    private static final String name = "com.mysql.jdbc.Driver";
 5    private static final String username = "root";
 6    private static final String password = "root";
 7    private static Connection connection = null;
 8    private static PreparedStatement preparedStatement = null;
 9    private JDBCTest01(String sql){
10        try{
11            //步骤一：注册一个驱动
12            Class.forName(name);
13            //步骤二：使用驱动和数据库连接
14            connection = DriverManager.getConnection(url, username, password);
15            //步骤三：使用连接对象获取操作数据库的执行对象
16            preparedStatement = connection.prepareStatement(sql);
17        }catch(Exception e){
18            e.printStackTrace();
19        }
20    }
21}

有了这三步我们就能根据返回的preparedStatement操作数据库了，下面我们在main方法中测试一波。

 1    public static void main(String[] args) {
 2        String sql = "SELECT * FROM person";
 3        JDBCTest01 dbManager = new JDBCTest01(sql);  
 4        String id, name, age;
 5        try{
 6            ResultSet result = dbManager.preparedStatement.executeQuery();
 7            while(result.next()){          
 8                id = result.getString(1);
 9                name = result.getString(2);
10                age = result.getString(3);
11                //显示出每一行数据
12                System.out.println(id + "  " + name + "  " + age);
13            }
14            result.close();
15            dbManager.close();
16            connection.close();
17            preparedStatement.close();
18        }catch (Exception e){
19            e.printStackTrace();
20        }
21    }

用完了之后关闭就好。到现在为止一个完整的JDBC案例也给出来了。现在我们来分析一下使用一个数据库的一般步骤。针对以上3各功能，提供了一下4个类：

（1）DriverManager：该类管理数据库驱动程序。

（2）Connection：管理数据库建立的连接。

（3）Statement：负责将要执行的sql体局提交到数据库。

（4）ResultSet：执行sql查询语句返回的结果集。

1、注册驱动

JDBC中规定，驱动类在被加载时，需要自己“主动”把自己注册到DriverManger中，如何注册一个驱动呢？上面我们好像使用的是反射，但是反射只是实现了注册的功能，追究其原理，我们还需要到com.mysql.jdbc.Driver类的源代码中找寻答案。

1public class Driver extends NonRegisteringDriver implements java.sql.Driver {
2    static {
3        try {
4            java.sql.DriverManager.registerDriver(new Driver());
5        } catch (SQLException E) {
6            throw new RuntimeException("Can't register driver!");
7        }
8    }
9}

也就是说我们注册驱动的时候只是new了自己，也就是Driver，既然这样我们直接把注册驱动类的代码修改为加载驱动类。也可以实现同样的功能，于是就使用Class.forName(“com.mysql.jdbc.Driver”); 代替了，形式也更加的简单。

2、获取连接

在分析原理的时候意思就是有了驱动，我们还要和我们的数据库建立连接。这个很简单，既然是数据库，我们首先需要指定我们使用的数据库是哪一个，还有用户名和密码。

3、获取Statement

获取了连接之后，下面我们就可以获取Statement。Statement是用来向数据库发送要执行的SQL语句的。

Statement最为重要的方法是：

（1）int executeUpdate(String sql)：执行更新操作，即执行insert、update、delete语句，其实这个方法也可以执行create table、alter table，以及drop table等语句，但我们很少会使用JDBC来执行这些语句；

（2）ResultSet executeQuery(String sql)：执行查询操作，执行查询操作会返回ResultSet，即结果集。

4、读取结果集中的数据

我们在main方法中测试了一下，首先定义了一条sql语句，然后使用Statement向数据库发送我们的sql语句。此时会返回一个结果集ResultSet。

ResultSet就是一张二维的表格，我们可以调用rs对象的next()方法把“行光标”向下移动一行，当第一次调用next()方法时，“行光标”就到了第一行记录的位置，这时就可以使用ResultSet提供的getXXX(int col)方法来获取指定列的数据了。当然里面的方法还很多。

（1）String getString(int columnIndex)：获取指定列的String类型数据；

（2）int getInt(int columnIndex)：获取指定列的int类型数据；

（3） double getDouble(int columnIndex)：获取指定列的double类型数据；

（4）boolean getBoolean(int columnIndex)：获取指定列的boolean类型数据；

（5）Object getObject(int columnIndex)：获取指定列的Object类型的数据。

（6）String getString(String columnName)：获取名称为columnName的列的String数据；

（7）int getInt(String columnName)：获取名称为columnName的列的int数据；

（8）double getDouble(String columnName)：获取名称为columnName的列的double数据；

（9）boolean getBoolean(String columnName)：获取名称为columnName的列的boolean数据；

（10）Object getObject(String columnName)：获取名称为columnName的列的Object数据；

上面其实分了两类。一类是根据指定列，一类是根据指定列名。

当然如果执行失败了呢？是否要支持滚动呢？这要从Connection类的createStatement()方法说起。也就是说创建的Statement决定了使用Statement创建的ResultSet是否支持滚动。

Statement createStatement(int resultSetType, int resultSetConcurrency)

resultSetType的可选值：

（1）ResultSet.TYPE_FORWARD_ONLY：不滚动结果集；

（2）ResultSet.TYPE_SCROLL_INSENSITIVE：滚动结果集，但结果集数据不会再跟随数据库而变化；

（3）ResultSet.TYPE_SCROLL_SENSITIVE：滚动结果集，但结果集数据不会再跟随数据库而变化；

可以看出，如果想使用滚动的结果集，我们应该选择TYPE_SCROLL_INSENSITIVE！其实很少有数据库驱动会支持TYPE_SCROLL_SENSITIVE的特性！通常我们也不需要查询到的结果集再受到数据库变化的影响。

现在来看基本上JDBC就这么多内容，还有最后一个问题。那就是sql注入***的问题。

三、sql注入***

为了解释好他的概念，我们使用java关键字来讲解，我们在写代码的时候都知道Class是java中的一个关键字，我们不能把它当成一个普通变量来定义，对于sql也是同样的道理，比如select是一个查询关键字，我们就不能把它当成一个普通的字段来操作。

但是这样会出现一个问题，我们的用户总是千奇百怪，你不知道他会做出什么样的事，万一用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,这样的***方式就叫做sql注入***。

JDBC是如何解决这个问题的呢？还要从我们的第三步获取Statement说起。PreparedStatement利用预编译的机制将sql语句的主干和参数分别传输给数据库服务器，从而使数据库分辨的出哪些是sql语句的主干哪些是参数，这样一来即使参数中带了sql的关键字,数据库服务器也仅仅将他当作参数值使用，从而从原理上防止了sql注入的问题。

一句话来总结就是把主干和参数分别传输。

其实不仅仅有PreparedStatement，还有一个Statment类也能执行sql语句，功能类似。但是稍微有一点区别，PreparedStatement 与Statment比较：

语法不同：PreparedStatement可以使用预编译的sql，而Statment只能使用静态的sql

效率不同：PreparedStatement可以使用sql缓存区，效率比Statment高

安全性不同：PreparedStatement可以有效防止sql注入，而Statment不能防止sql注入。

一、JDBC原理

二、例子演示

三、sql注入***

更多相关文章

随机推荐