简述⼀下动态sql的执⾏原理_⼀个基础⼜很重要的知识点:JDBC原理(基本案例和⾯试知识点)...
JDBC全称⼜叫做Java DataBase Connectivity,就是Java数据库连接,说⽩了就是⽤Java语⾔来操作数据库。这篇⽂章主要是对JDBC 的原理进⾏讲解。不会专注于其使⽤。主要是理解其思想并对⼀些常见的⾯试题进⾏讲解。
⼀、JDBC原理
既然JDBC主要是⽤于java连接数据库的,能连接什么数据库没有指定,其实能连接很多种数据库,⽽且⼀般来说可以连接oracle和mysql,通常也是这两种。但是既然JDBC能连接这么多的数据库,开发起来太⿇烦了,于是sun公司那帮⼈想出了⼀个办法,我定义⼀套规则,⼤家都按照这个规则来,实现⾃⼰公司访问数据库的实现。这套规则就是JDBC,遵循了JDBC规范的,可以访问⾃⼰数据库的API被称之为驱动。
所以jdbc是不变的,但是驱动却有很多种。
stringbuffer线程安全吗
现在⼤家应该能理解了这套原理了。其实是很简单。JDBC只是⼀套规范接⼝,真正实现的是下⾯的各种驱动。我们使⽤⼀个例⼦来解释⼀下。
⼆、例⼦演⽰
update into在上⾯那张图⾥⾯,基本上也交代出了使⽤⼀个数据库的⼀般步骤。
(1)注册⼀个驱动
(2)使⽤驱动和数据库连接
(3)使⽤连接对象获取操作数据库的执⾏对象
我们⼲脆使⽤代码来实际演⽰⼀遍,⾸先我在数据库⾥⾯建了⼀张person表,并随便插⼊了两条记录。
有了这三步我们就能根据返回的preparedStatement操作数据库了,下⾯我们在main⽅法中测试⼀波。
⽤完了之后关闭就好。到现在为⽌⼀个完整的JDBC案例也给出来了。现在我们来分析⼀下使⽤⼀个数据库的⼀般步骤。针对以上3各功能,提供了⼀下4个类:
(1)DriverManager:该类管理数据库驱动程序。
(2)Connection:管理数据库建⽴的连接。
(3)Statement:负责将要执⾏的sql体局提交到数据库。
(4)ResultSet:执⾏sql查询语句返回的结果集。
全国php培训机构1、注册驱动
JDBC中规定,驱动类在被加载时,需要⾃⼰“主动”把⾃⼰注册到DriverManger中,如何注册⼀个驱动呢?上⾯我们好像使⽤的是反射,但是反射只是实现了注册的功能,追究其原理,我们还需要到sql.jdbc.Driver类的源代码中寻答案。
mysql面试题及讲解
也就是说我们注册驱动的时候只是new了⾃⼰,也就是Driver,既然这样我们直接把注册驱动类的代码修改为加载驱动类。也可以实现同样的功能,于是就使⽤Class.forName(“sql.jdbc.Driver”); 代替了,形式也更加的简单。
2、获取连接
在分析原理的时候意思就是有了驱动,我们还要和我们的数据库建⽴连接。这个很简单,既然是数据库,我们⾸先需要指定我们使⽤的数据库是哪⼀个,还有⽤户名和密码。
3、获取Statement
获取了连接之后,下⾯我们就可以获取Statement。Statement是⽤来向数据库发送要执⾏的SQL语句的。
Statement最为重要的⽅法是:
(1)int executeUpdate(String sql):执⾏更新操作,即执⾏insert、update、delete语句,其实这个⽅法也可以执⾏create table、alter table,以及drop table等语句,但我们很少会使⽤JDBC来执⾏这些语句;
抹茶交易所官方网址
(2)ResultSet executeQuery(String sql):执⾏查询操作,执⾏查询操作会返回ResultSet,即结果集。
4、读取结果集中的数据
我们在main⽅法中测试了⼀下,⾸先定义了⼀条sql语句,然后使⽤Statement向数据库发送我们的sql语句。此时会返回⼀个结果集ResultSet。
ResultSet就是⼀张⼆维的表格,我们可以调⽤rs对象的next()⽅法把“⾏光标”向下移动⼀⾏,当第⼀次调⽤next()⽅法时,“⾏光
标”就到了第⼀⾏记录的位置,这时就可以使⽤ResultSet提供的getXXX(int col)⽅法来获取指定列的数据了。当然⾥⾯的⽅法还很多。
(1)String getString(int columnIndex):获取指定列的String类型数据;
(2)int getInt(int columnIndex):获取指定列的int类型数据;
(3) double getDouble(int columnIndex):获取指定列的double类型数据;
(4)boolean getBoolean(int columnIndex):获取指定列的boolean类型数据;
(5)Object getObject(int columnIndex):获取指定列的Object类型的数据。
(6)String getString(String columnName):获取名称为columnName的列的String数据;
(7)int getInt(String columnName):获取名称为columnName的列的int数据;
(8)double getDouble(String columnName):获取名称为columnName的列的double数据;
(9)boolean getBoolean(String columnName):获取名称为columnName的列的boolean数据;
(10)Object getObject(String columnName):获取名称为columnName的列的Object数据;
上⾯其实分了两类。⼀类是根据指定列,⼀类是根据指定列名。
当然如果执⾏失败了呢?是否要⽀持滚动呢?这要从Connection类的createStatement()⽅法说起。也就是说创建的Statement决定了使⽤Statement创建的ResultSet是否⽀持滚动。
Statement createStatement(int resultSetType, int resultSetConcurrency)
resultSetType的可选值:
(1)ResultSet.TYPE_FORWARD_ONLY:不滚动结果集;
(2)ResultSet.TYPE_SCROLL_INSENSITIVE:滚动结果集,但结果集数据不会再跟随数据库⽽变化;
breakpoint(3)ResultSet.TYPE_SCROLL_SENSITIVE:滚动结果集,但结果集数据不会再跟随数据库⽽变化;
可以看出,如果想使⽤滚动的结果集,我们应该选择TYPE_SCROLL_INSENSITIVE!其实很少有数据库驱动会⽀持
TYPE_SCROLL_SENSITIVE的特性!通常我们也不需要查询到的结果集再受到数据库变化的影响。
现在来看基本上JDBC就这么多内容,还有最后⼀个问题。那就是sql注⼊攻击的问题。
三、sql注⼊攻击
为了解释好他的概念,我们使⽤java关键字来讲解,我们在写代码的时候都知道Class是java中的⼀个关键字,我们不能把它当成⼀个普通变量来定义,对于sql也是同样的道理,⽐如select是⼀个查询关键字,我们就不能把它当成⼀个普通的字段来操作。
但是这样会出现⼀个问题,我们的⽤户总是千奇百怪,你不知道他会做出什么样的事,万⼀⽤户传⼊的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从⽽执⾏⼀些特殊的操作,这样的攻击⽅式就叫做sql注⼊攻击。
JDBC是如何解决这个问题的呢?还要从我们的第三步获取Statement说起。PreparedStatement利⽤
预编译的机制将sql语句的主⼲和参数分别传输给数据库服务器,从⽽使数据库分辨的出哪些是sql语句的主⼲哪些是参数,这样⼀来即使参数中带了sql的关键字,数据库服务器也仅仅将他当作参数值使⽤,从⽽从原理上防⽌了sql注⼊的问题。
⼀句话来总结就是把主⼲和参数分别传输。
其实不仅仅有PreparedStatement,还有⼀个Statment类也能执⾏sql语句,功能类似。但是稍微有⼀点区别,PreparedStatement 与Statment⽐较:
语法不同:PreparedStatement可以使⽤预编译的sql,⽽Statment只能使⽤静态的sql
效率不同: PreparedStatement可以使⽤sql缓存区,效率⽐Statment⾼
安全性不同: PreparedStatement可以有效防⽌sql注⼊,⽽Statment不能防⽌sql注⼊。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。