JDBC-API详解、SQL注入演示、连接池

JDBC

今日目标

• 掌握JDBC的的CRUD
• 理解JDBC中各个对象的作用
• 掌握Druid的使用

1，JDBC概述

在开发中我们使用的是java语言，那么势必要通过java语言操作数据库中的数据。这就是接下来要学习的JDBC。

1.1 JDBC概念

JDBC 就是使用Java语言操作关系型数据库的一套API

全称：( Java DataBase Connectivity ) Java 数据库连接

我们开发的同一套Java代码是无法操作不同的关系型数据库，因为每一个关系型数据库的底层实现细节都不一样。如果这样，问题就很大了，在公司中可以在开发阶段使用的是MySQL数据库，而上线时公司最终选用oracle数据库，我们就需要对代码进行大批量修改，这显然并不是我们想看到的。我们要做到的是同一套Java代码操作不同的关系型数据库，而此时sun公司就指定了一套标准接口（JDBC），JDBC中定义了所有操作关系型数据库的规则。众所周知接口是无法直接使用的，我们需要使用接口的实现类，而这套实现类（称之为：驱动）就由各自的数据库厂商给出。

1.2 JDBC本质

• 官方（sun公司）定义的一套操作所有关系型数据库的规则，即接口
• 各个数据库厂商去实现这套接口，提供数据库驱动jar包
• 我们可以使用这套接口（JDBC）编程，真正执行的代码是驱动jar包中的实现类

1.3 JDBC好处

• 各数据库厂商使用相同的接口，Java代码不需要针对不同数据库分别开发
• 可随时替换底层数据库，访问数据库的Java代码基本不变

以后编写操作数据库的代码只需要面向JDBC（接口），操作哪儿个关系型数据库就需要导入该数据库的驱动包，如需要操作MySQL数据库，就需要再项目中导入MySQL数据库的驱动包。如下图就是MySQL驱动包
所谓驱动，就是各厂商对jdbc这套接口的实现类

2，JDBC快速入门

先来看看通过Java操作数据库的流程

第一步：编写Java代码

第二步：Java代码将SQL发送到MySQL服务端

第三步：MySQL服务端接收到SQL语句并执行该SQL语句

第四步：将SQL语句执行的结果返回给Java代码

2.1 编写代码步骤

• 创建工程，导入驱动jar包

• 注册驱动

  Class.forName("com.mysql.jdbc.Driver");
  

  获取字节码，其实还有一个天然的作用，就是将类加载进内存

• 获取连接

  Connection conn = DriverManager.getConnection(url, username, password);
  

  Java代码需要发送SQL给MySQL服务端，就需要先建立连接

• 定义SQL语句

  String sql =  “update…” ;
  

• 获取执行SQL对象

  执行SQL语句需要SQL执行对象，而这个执行对象就是Statement对象

  Statement stmt = conn.createStatement();
  

• 执行SQL

  stmt.executeUpdate(sql);  
  

• 处理返回结果

• 释放资源

2.2 具体操作

• 创建新的空的项目。定义项目的名称，并指定位置

• 对项目进行设置，JDK版本、编译版本

可以装多个jdk，然后选择哪个即可

• 创建模块，指定模块的名称及位置

• 导入驱动包

  将mysql的驱动包放在模块下的lib目录（随意命名）下，并将该jar包添加为库文件
  lib目录和src同级别 (不然也创建不了目录，只能创建包)

• 在添加为库文件的时候，有如下三个选项
  • Global Library ： 全局有效
  • Project Library : 项目有效
  • Module Library ： 模块有效

改用全局有效试试

• 在src下创建类
  

• 编写代码如下

/*** JDBC快速入门** 注意 驱动包 我导入成全局的了*/
public class JDBCDemo {public static void main(String[] args) throws Exception {//1. 注册驱动//Class.forName("com.mysql.jdbc.Driver");//将类加载到内存中//mysql5之后 可以省略注册这一步了 自动注册//2. 获取连接String url = "jdbc:mysql://127.0.0.1:3306/db1";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//3. 定义sqlString sql = "update account set money = 2000 where id = 1";//4. 获取执行sql的对象 StatementStatement st = conn.createStatement();//5. 执行sql 修改语句对应的方法int n = st.executeUpdate(sql); //返回受影响的行数//6. 处理结果 (此处就打印下行数了)System.out.println(n);//7. 释放资源 (先开后放)st.close();conn.close();}
}

3，JDBC API详解

3.1 DriverManager

DriverManager（驱动管理类）作用：

• 注册驱动

  

  registerDriver方法是用于注册驱动的，但是我们之前做的入门案例并不是这样写的。而是如下实现

  Class.forName("com.mysql.jdbc.Driver");
  

  我们查询MySQL提供的Driver类，看它是如何实现的，源码如下：

  
  加载Driver类的时候静态代码块会执行，也就会registerDriver()注册驱动程序了

  在该类中的静态代码块中已经执行了 DriverManager 对象的 registerDriver() 方法进行驱动的注册了，那么我们只需要加载 Driver 类，该静态代码块就会执行。而 Class.forName("com.mysql.jdbc.Driver"); 就可以加载 Driver 类。

  提示：

  • MySQL 5之后的驱动包，可以省略注册驱动的步骤
  • 自动加载jar包中META-INF/services/java.sql.Driver文件中的驱动类

• 获取数据库连接

  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6NtgYq0r-1677226449633)(assets/image-20210725171355278.png)]

  参数说明：

  • url ： 连接路径

    语法：jdbc:mysql://ip地址(域名):端口号/数据库名称?参数键值对1&参数键值对2…

    示例：jdbc:mysql://127.0.0.1:3306/db1

    细节：

    • 如果连接的是本机mysql服务器，并且mysql服务默认端口是3306，则url可以简写为：jdbc:mysql:///数据库名称?参数键值对

    • 配置 useSSL=false 参数，禁用安全连接方式，解决警告提示

  • user ：用户名

  • poassword ：密码

代码简化1:

/*** JDBC API详解：DriverManger**/
public class JDBCDemo2_DriverManager {public static void main(String[] args) throws Exception {//1. 注册驱动//Class.forName("com.mysql.jdbc.Driver");//将类加载到内存中 //Driver类的静态代码块注册的//mysql5之后 可以省略注册这一步了 自动注册//2. 获取连接// 1) 如果连接的是本机的mysql 并且端口是默认的3306 可以简化书写// 2) 配置 useSSL=false 参数，禁用安全连接方式，解决警告提示 (输出就没有警告了)String url = "jdbc:mysql:///db1?useSSL=false";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//3. 定义sqlString sql = "update account set money = 2000 where id = 1";//4. 获取执行sql的对象 StatementStatement st = conn.createStatement();//5. 执行sql 修改语句对应的方法int n = st.executeUpdate(sql); //返回受影响的行数//6. 处理结果 (此处就打印下行数了)System.out.println(n);//7. 释放资源 (先开后放)st.close();conn.close();}
}

3.2 Connection （事务归我管）

Connection（数据库连接对象）作用：

• 获取执行 SQL 的对象
• 管理事务

3.2.1 获取执行对象

• 普通执行SQL对象

  Statement createStatement()
  

  入门案例中就是通过该方法获取的执行对象。

• 预编译SQL的执行SQL对象：防止SQL注入

  PreparedStatement  prepareStatement(sql)
  

  通过这种方式获取的 PreparedStatement SQL语句执行对象是我们一会重点要进行讲解的，它可以防止SQL注入。

• 执行存储过程的对象

  CallableStatement prepareCall(sql)
  

  通过这种方式获取的 CallableStatement 执行对象是用来执行存储过程的，而存储过程在MySQL中不常用，所以这个我们将不进行讲解。

3.2.2 事务管理

先回顾一下MySQL事务管理的操作：

• 开启事务 ： BEGIN; 或者 START TRANSACTION;
• 提交事务 ： COMMIT;
• 回滚事务 ： ROLLBACK;

MySQL默认是自动提交事务

接下来学习JDBC事务管理的方法。

Connection几口中定义了3个对应的方法：

• 开启事务

  

  参与autoCommit 表示是否自动提交事务，true表示自动提交事务，false表示手动提交事务。而开启事务需要将该参数设为为false。

• 提交事务

  

• 回滚事务

  

具体代码实现如下：

public class JDBCDemo3_Connection {public static void main(String[] args) throws Exception {//1. 注册驱动//Class.forName("com.mysql.jdbc.Driver");//将类加载到内存中 //Driver类的静态代码块注册的//mysql5之后 可以省略注册这一步了 自动注册//2. 获取连接// 1) 如果连接的是本机的mysql 并且端口是默认的3306 可以简化书写// 2) 配置 useSSL=false 参数，禁用安全连接方式，解决警告提示 (输出就没有警告了)String url = "jdbc:mysql:///db1?useSSL=false";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//3. 定义sqlString sql1 = "update account set money = money + 500 where id = 1";String sql2 = "update account set money = money - 500 where id = 2";//4. 获取执行sql的对象 StatementStatement st = conn.createStatement();try {//S1: 执行sql之前开启事务conn.setAutoCommit(false);//5. 执行sql 修改语句对应的方法int n1 = st.executeUpdate(sql1); //返回受影响的行数System.out.println(n1);//6.处理结果int i = 3/0; //自己造异常 模拟int n2 = st.executeUpdate(sql2); //返回受影响的行数System.out.println(n2);//6.处理结果//S2: 结果处理完，说明执行成功，提交事务conn.commit();}catch (Exception e){//S2: 一旦发生异常就回滚conn.rollback();e.printStackTrace();}finally {//7. 释放资源 (先开后放)  不管有没有异常st.close();conn.close();}}
}

3.3 Statement

3.3.1 概述

Statement对象的作用就是用来执行SQL语句。而针对不同类型的SQL语句使用的方法也不一样。

• 执行DDL、DML语句

  

• 执行DQL语句

  

  该方法涉及到了 ResultSet 对象，而这个对象我们还没有学习，一会再重点讲解。

3.3.2 代码实现

• 执行DML语句

	@Testpublic void testDML() throws SQLException {//1. 注册驱动 省略//2. 获取连接String url = "jdbc:mysql:///db1?useSSL=false";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//3. 定义sqlString sql = "update account set money = 3000 where id = 1";//4. 获取执行sql的对象 StatementStatement st = conn.createStatement();//5. 执行sql 修改语句对应的方法int n = st.executeUpdate(sql); //执行DML语句后,受影响的行数//6. 处理结果 (此处就打印下行数了)if(n>0){System.out.println("修改成功！");}else {System.out.println("失败~");}//7. 释放资源 (先开后放)st.close();conn.close();}

• 执行DDL语句

    @Testpublic void testDDL() throws SQLException {//1. 注册驱动 省略//2. 获取连接String url = "jdbc:mysql:///db1?useSSL=false";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//3. 定义sqlString sql = "create database db2";//4. 获取执行sql的对象 StatementStatement st = conn.createStatement();//5. 执行sql 修改语句对应的方法int n = st.executeUpdate(sql); //执行DML语句后,受影响的行数//6. 处理结果 (此处就打印下行数了)if(n>0){System.out.println("创建成功！");}else {System.out.println("失败~");}//7. 释放资源 (先开后放)st.close();conn.close();}@Testpublic void testDDL2() throws SQLException {//1. 注册驱动 省略//2. 获取连接String url = "jdbc:mysql:///db1?useSSL=false";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//3. 定义sqlString sql = "drop database if exists db2";//4. 获取执行sql的对象 StatementStatement st = conn.createStatement();//5. 执行sql 修改语句对应的方法int n = st.executeUpdate(sql); //执行DML语句后,受影响的行数//6. 处理结果 (此处就打印下行数了)System.out.println(n);//DDL 删除操作 执行成功 也返回0 不一定返回1 此时不能通过n>1判断是否成功了//7. 释放资源 (先开后放)st.close();conn.close();}

DDL执行成功，结果也可能是0

注意：

• 以后开发很少使用java代码操作DDL语句

3.4 ResultSet

3.4.1 概述

ResultSet（结果集对象）作用：

• 封装了SQL查询语句的结果。

而执行了DQL语句后就会返回该对象，对应执行DQL语句的方法如下：

ResultSet  executeQuery(sql)：执行DQL 语句，返回 ResultSet 对象

那么我们就需要从 ResultSet 对象中获取我们想要的数据。ResultSet 对象提供了操作查询结果数据的方法，如下：

boolean next()

• 将光标从当前位置向前移动一行
• 判断当前行是否为有效行

方法返回值说明：

• true ： 有效行，当前行有数据
• false ： 无效行，当前行没有数据

xxx getXxx(参数)：获取数据

• xxx : 数据类型；如： int getInt(参数) ；String getString(参数)
• 参数
  • int类型的参数：列的编号，从1开始
  • String类型的参数： 列的名称

如下图为执行SQL语句后的结果

一开始光标指定于第一行前，如图所示红色箭头指向于表头行。当我们调用了 next() 方法后，光标就下移到第一行数据，并且方法返回true，此时就可以通过 getInt("id") 获取当前行id字段的值，也可以通过 getString("name") 获取当前行name字段的值。如果想获取下一行的数据，继续调用 next() 方法，以此类推。

3.4.2 代码实现

    @Testpublic void testDML() throws SQLException {//1. 注册驱动 省略//2. 获取连接String url = "jdbc:mysql:///db1?useSSL=false";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//3. 定义sqlString sql = "select * from account";//4. 获取Statement对象Statement st = conn.createStatement();//5. 执行sqlResultSet rs = st.executeQuery(sql);//6. 处理结果/* while (rs.next()){//根据列标访问  注意从1开始int id = rs.getInt(1);String name = rs.getString(2);double money = rs.getDouble(3);System.out.println(id+" "+name+" "+money);}*///根据列名访问最好while (rs.next()){int id = rs.getInt("id");String name = rs.getString("name");double money = rs.getDouble("money");System.out.println(id+" "+name+" "+money);}//7. 千万记得释放资源rs.close();st.close();conn.close();}

3.5 案例

• 需求：查询account账户表数据，封装为Account对象中，并且存储到ArrayList集合中

  

1. 定义实体类Account
2. 查询数据，封装到Account对象中
3. 将Account对象存入ArrayList集合中

• 代码实现

/*** 查询account账户表数据，封装为Account对象中，并且存储到ArrayList集合中*  1. 定义实体类Account*  2. 查询数据，封装到Account对象中*  3. 将Account对象存入ArrayList集合中*/
@Test
public void testResultSet2() throws SQLException {//1. 注册驱动 省略//2. 获取连接String url = "jdbc:mysql:///db1?useSSL=false";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//3. 定义sqlString sql = "select * from account";//4. 获取Statement对象Statement st = conn.createStatement();//5. 执行sqlResultSet rs = st.executeQuery(sql);//6. 处理结果//根据列名访问最好//准备好ArrayListList<Account> list = new ArrayList<>();while (rs.next()){int id = rs.getInt("id");String name = rs.getString("name");double money = rs.getDouble("money");Account account = new Account(id, name, money);list.add(account);}for (Account account : list) {System.out.println(account);}//7. 千万记得释放资源rs.close();st.close();conn.close();
}

3.6 PreparedStatement

PreparedStatement作用：

• 预编译SQL语句并执行：预防SQL注入问题

对上面的作用中SQL注入问题大家肯定不理解。那我们先对SQL注入进行说明.

3.6.1 SQL注入

SQL注入是通过操作输入来修改事先定义好的SQL语句，用以达到执行代码对服务器进行攻击的方法。

根据要求修改 application.properties 文件中的用户名和密码，文件内容如下：

spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/test?useSSL=false&useUnicode=true&characterEncoding=UTF-8
spring.datasource.username=root
spring.datasource.password=1234

在MySQL中创建名为 test 的数据库

create database test;

在命令提示符中运行今天资料下的 day03-JDBC\资料\2. sql注入演示\sql.jar 这个jar包。
直接双击sql.jar也行

此时我们就能在数据库中看到user表

接下来在浏览器的地址栏输入 localhost:8080/login.html 就能看到如下页面

我们就可以在如上图中输入用户名和密码进行登陆。用户名和密码输入正确就登陆成功，跳转到首页。用户名和密码输入错误则给出错误提示，如下图

但是我可以通过输入一些特殊的字符登陆到首页。

用户名随意写，密码写成 ' or '1' ='1

也能登陆成功！

这就是SQL注入漏洞，也是很危险的。当然现在市面上的系统都不会存在这种问题了，所以大家也不要尝试用这种方式去试其他的系统。

那么该如何解决呢？这里就可以将SQL执行对象 Statement 换成 PreparedStatement 对象。

3.6.2 代码模拟SQL注入问题

• 准备工作

use db1;
-- 删除tb_user表
drop table if EXISTS tb_user;
-- 创建tb_user表
create table tb_user(id int,username varchar(20),password varchar(32)
);-- 添加数据
insert into tb_user VALUES
(1,'zhangsan','123'),
(2,'lisi','234');SELECT * from tb_user;

@Test
public void testResultSet() throws SQLException {String url = "jdbc:mysql:///db1?useSSL=false";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//模拟用户输入:用户名和密码String name = "hackdshjksdhdjh";String pwd = "' or '1'='1"; //可怕的注入  直接修改了sql语句的含义//sql语句String sql = "select * from tb_user where username = '"+name+"' and password = '"+pwd+"'";System.out.println(sql);//获取statement对象Statement st = conn.createStatement();//执行sqlResultSet rs = st.executeQuery(sql);//判断登陆是否成功if(rs.next()){//根据name和pwd能查到数据就说明登陆成功System.out.println("登陆成功!");}else {System.out.println("失败~");}//千万记得释放资源rs.close();st.close();conn.close();
}

上面代码是将用户名和密码拼接到sql语句中，拼接后的sql语句如下

select * from tb_user where username = 'hackdshjksdhdjh' and password = '' or '1'='1'

从上面语句可以看出条件 username = 'hackdshjksdhdjh' and password = '' 不管是否满足，而 or 后面的 '1' = '1' 是始终满足的，最终条件是成立的，就可以正常的进行登陆了。

更为可怕的是，这条sql语句会查出tb_user表的所有数据

接下来我们来学习PreparedStatement对象.

3.6.3 PreparedStatement概述

PreparedStatement作用：

• 预编译SQL语句并执行：预防SQL注入问题

• 获取 PreparedStatement 对象

  // SQL语句中的参数值，使用？占位符替代
  String sql = "select * from user where username = ? and password = ?";
  // 通过Connection对象获取，并传入对应的sql语句
  PreparedStatement pstmt = conn.prepareStatement(sql);
  

• 设置参数值

  上面的sql语句中参数使用 ? 进行占位，在执行之前肯定要设置这些 ? 的值。

  PreparedStatement对象：setXxx(参数1，参数2)：给 ? 赋值

  • Xxx：数据类型 ； 如 setInt (参数1，参数2)

  • 参数：

    • 参数1： ？的位置编号，从1 开始

    • 参数2： ？的值

• 执行SQL语句

  executeUpdate(); 执行DDL语句和DML语句

  executeQuery(); 执行DQL语句

  注意：

  • 调用这两个方法时不需要传递SQL语句，因为获取SQL语句执行对象时已经对SQL语句进行预编译了。

3.6.4 使用PreparedStatement改进

@Test
public void testPreparedStatement() throws SQLException {String url = "jdbc:mysql:///db1?useSSL=false";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//模拟用户输入:用户名和密码String name = "hackdshjksdhdjh";String pwd = "' or '1'='1"; //可怕的注入  直接修改了sql语句的含义/*name = "lisi";pwd = "234";*/ //当然也成功啦//sql语句String sql = "select * from tb_user where username = ? and password = ?";//获取statement对象PreparedStatement ps = conn.prepareStatement(sql);//预编译sql(然后插入值，这样就不用拼接了)//设置?值ps.setString(1,name);//设置第一个?的值ps.setString(2,pwd);//设置第二个?的值//执行sqlResultSet rs = ps.executeQuery(); //不用传入sql了 前面传过了//也打印下sqlSystem.out.println(((JDBC4PreparedStatement)ps).asSql());//发现整个pwd当做一个字符串处理了('号会被转义)，再也不会修改sql语句了//判断登陆是否成功if(rs.next()){//根据name和pwd能查到数据就说明登陆成功System.out.println("登陆成功!");}else {System.out.println("失败~");}//千万记得释放资源rs.close();ps.close();conn.close();
}

特殊字符如'被转义了，再也不会修改sql语句的逻辑了

3.6.5 PreparedStatement原理

PreparedStatement 好处：

• 预编译SQL，性能更高
• 防止SQL注入：将敏感字符进行转义

Java代码操作数据库流程如图所示：

• 将sql语句发送到MySQL服务器端

• MySQL服务端会对sql语句进行如下操作

  • 检查SQL语句

    检查SQL语句的语法是否正确。

  • 编译SQL语句。将SQL语句编译成可执行的函数。

    检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数，那么检查SQL语句和编译SQL语句将不需要重复执行。这样就提高了性能。
    sql编译一次，下次若只是参数不同就不需要重新编译，直接换参执行即可，大大提高效率

  • 执行SQL语句

接下来我们通过查询日志来看一下原理。

• 开启预编译功能

  在代码中编写url时需要加上以下参数。而我们之前根本就没有开启预编译功能，只是解决了SQL注入漏洞。
  (默认是不开的，得手动开才行，否则就是纸上谈兵)

  useServerPrepStmts=true
  

• 配置MySQL执行日志（重启mysql服务后生效）

  在mysql配置文件（my.ini）中添加如下配置

  log-output=FILE
  general-log=1
  general_log_file="D:\mysql.log"
  slow-query-log=1
  slow_query_log_file="D:\mysql_slow.log"
  long_query_time=2
  

没有权限就先复制到桌面，修改保存好后再复制回去

重启看看日志目录下是否有这两个.log文件

• java测试代码如下

/*** PreparedStatement原理*/
@Test
public void testPreparedStatement2() throws SQLException {String url = "jdbc:mysql:///db1?useSSL=false&useServerPrepStmts=true";String user = "root";String password = "1234";Connection conn = DriverManager.getConnection(url, user, password);//模拟用户输入:用户名和密码String name = "hackdshjksdhdjh";String pwd = "' or '1'='1"; //可怕的注入  直接修改了sql语句的含义//sql语句String sql = "select * from tb_user where username = ? and password = ?";//获取statement对象PreparedStatement ps = conn.prepareStatement(sql);//预编译sql(然后插入值，这样就不用拼接了)//设置?值ps.setString(1, name);//设置第一个?的值ps.setString(2, pwd);//设置第二个?的值//执行sqlResultSet rs = ps.executeQuery(); //不用传入sql了 前面传过了if (rs.next()) System.out.println("登陆成功!");else System.out.println("失败~");//再执行一次sqlps.setString(1, "lisi");//设置第一个?的值ps.setString(2, "234");//设置第二个?的值rs = ps.executeQuery(); //不用传入sql了 前面传过了//判断登陆是否成功if (rs.next()) {//根据name和pwd能查到数据就说明登陆成功System.out.println("登陆成功!");} else {System.out.println("失败~");}//千万记得释放资源rs.close();ps.close();conn.close();
}

上面的代码执行了两次sql: 一次注入失败，一次正常登陆成功

• 执行SQL语句(执行上面java代码就是执行sql)，查看 E:\log\mysql.log 日志如下:

MySQL, Version: 5.7.24-log (MySQL Community Server (GPL)). started with:
TCP Port: 0, Named Pipe: (null)
Time                 Id Command    Argument
2023-02-24T14:12:46.862195Z	    2 Connect	root@localhost on db1 using TCP/IP
2023-02-24T14:12:46.864956Z	    2 Query	/* mysql-connector-java-5.1.48 ( Revision: 29734982609c32d3ab7e5cac2e6acee69ff6b4aa ) */SELECT  @@session.auto_increment_increment AS auto_increment_increment, @@character_set_client AS character_set_client, @@character_set_connection AS character_set_connection, @@character_set_results AS character_set_results, @@character_set_server AS character_set_server, @@collation_server AS collation_server, @@collation_connection AS collation_connection, @@init_connect AS init_connect, @@interactive_timeout AS interactive_timeout, @@license AS license, @@lower_case_table_names AS lower_case_table_names, @@max_allowed_packet AS max_allowed_packet, @@net_buffer_length AS net_buffer_length, @@net_write_timeout AS net_write_timeout, @@performance_schema AS performance_schema, @@query_cache_size AS query_cache_size, @@query_cache_type AS query_cache_type, @@sql_mode AS sql_mode, @@system_time_zone AS system_time_zone, @@time_zone AS time_zone, @@transaction_isolation AS transaction_isolation, @@wait_timeout AS wait_timeout
2023-02-24T14:12:46.875712Z	    2 Query	SET character_set_results = NULL
2023-02-24T14:12:46.875885Z	    2 Query	SET autocommit=1
2023-02-24T14:12:46.886850Z	    2 Prepare	select * from tb_user where username = ? and password = ?
2023-02-24T14:12:46.887324Z	    2 Execute	select * from tb_user where username = 'hackdshjksdhdjh' and password = '\' or \'1\'=\'1'
2023-02-24T14:12:46.887585Z	    2 Execute	select * from tb_user where username = 'lisi' and password = '234'
2023-02-24T14:12:46.887825Z	    2 Close stmt	
2023-02-24T14:12:46.889170Z	    2 Quit	

上面日志中，前面是访问数据库连接的一些步骤
后面, 倒数第五行中的 Prepare 是对SQL语句进行预编译。倒数第四行和倒数第三行是执行了两次SQL语句，而第二次执行前并没有对SQL进行预编译。

（去掉预编译的代码&useServerPrepStmts=true 日志里就没有Prepare了）

小结：

• 在获取PreparedStatement对象时，将sql语句发送给mysql服务器进行检查，编译（这些步骤很耗时）
• 执行时就不用再进行这些步骤了，速度更快
• 如果sql模板一样，则只需要进行一次检查、编译

4，数据库连接池

4.1 数据库连接池简介

• 数据库连接池是个容器，负责分配、管理数据库连接(Connection)

• 它允许应用程序重复使用一个现有的数据库连接，而不是再重新建立一个；

• 释放空闲时间超过最大空闲时间的数据库连接来避免因为没有释放数据库连接而引起的数据库连接遗漏(都不释放，我想连接就可能没有资源导致连不上)

• 好处

  • 资源重用
  • 提升系统响应速度
  • 避免数据库连接遗漏

之前我们代码中使用连接是没有使用连接池的，都创建一个Connection对象，使用完毕就会将其销毁。这样重复创建销毁的过程是特别耗费计算机的性能的及消耗时间的。

而数据库使用了数据库连接池后，就能达到Connection对象的复用，如下图

连接池是在一开始就创建好了一些连接（Connection）对象存储起来。用户需要连接数据库时，不需要自己创建连接，而只需要从连接池中获取一个连接进行使用，使用完毕后再将连接对象归还给连接池；这样就可以起到资源重用，也节省了频繁创建连接销毁连接所花费的时间，从而提升了系统响应的速度。

4.2 数据库连接池实现

• 标准接口：DataSource

  官方(SUN) 提供的数据库连接池标准接口，由第三方组织实现此接口。该接口提供了获取连接的功能：

  Connection getConnection()
  

  那么以后就不需要通过 DriverManager 对象获取 Connection 对象，而是通过连接池（DataSource）获取 Connection 对象。

• 常见的数据库连接池

  • DBCP
  • C3P0
  • Druid

  我们现在使用更多的是Druid，它的性能比其他两个会好一些。

• Druid（德鲁伊）

  • Druid连接池是阿里巴巴开源的数据库连接池项目

  • 功能强大，性能优秀，是Java语言最好的数据库连接池之一

4.3 Driud使用 (大大简化JDBC数据库连接)

• 导入jar包 druid-1.1.12.jar
• 定义配置文件
• 加载配置文件
• 获取数据库连接池对象
• 获取连接

现在通过代码实现，首先需要先将druid的jar包放到项目下的lib下并添加为库文件

项目结构如下：

编写配置文件如下：

driverClassName=com.mysql.jdbc.Driver
url=jdbc:mysql:///db1?useSSL=false&useServerPrepStmts=true
username=root
password=1234
# 初始化连接数量
initialSize=5
# 最大连接数
maxActive=10
# 最大等待时间
maxWait=3000

使用druid的代码如下：
注意：import com.alibaba.druid.pool.DruidDataSourceFactory;

	public static void main(String[] args) throws Exception {//1.导入jar包//2.定义配置文件//3.加载配置文件Properties prop = new Properties();prop.load(new FileInputStream("jdbc-demo/src/druid.properties"));//4.获取连接池对象DataSource dataSource = DruidDataSourceFactory.createDataSource(prop);//5.获取连接Connection conn = dataSource.getConnection();System.out.println(conn);//后面写法都一样了/* 报异常 src\druid.properties (系统找不到指定的路径。)System.out.println(System.getProperty("user.dir"));//获取当前用户目录为 C:\Users\hanzhuan\Documents\projectData\IdeaProjects\javaWeb//然后new FileInputStream里面的路径得接着这个路径写才行//为: jdbc-demo/src/druid.properties//System.out.println(System.getenv());//所有系统环境变量*/}

Test

	public static void main(String[] args) throws Exception {//1.导入jar包//2.定义配置文件//3.加载配置文件Properties prop = new Properties();prop.load(new FileInputStream("jdbc-demo/src/druid.properties"));//4.获取连接池对象DataSource dataSource = DruidDataSourceFactory.createDataSource(prop);//5.获取连接Connection conn = dataSource.getConnection();//6.sql语句String sql = "select * from account";//7.创建PreparedStatement对象PreparedStatement ps = conn.prepareStatement(sql);//8.执行sqlResultSet rs = ps.executeQuery();//9.打印结果while (rs.next()){System.out.println(rs.getInt("id")+" "+rs.getString("name")+" "+rs.getDouble("money"));}}

druid配置详解（了解）

属性	说明	建议值
url	数据库的jdbc连接地址。一般为连接oracle/mysql。示例如下：
	mysql : jdbc:mysql://ip:port/dbname?option1&option2&…
	oracle : jdbc:oracle:thin:@ip:port:oracle_sid
username	登录数据库的用户名
password	登录数据库的用户密码
initialSize	启动程序时，在连接池中初始化多少个连接	10-50已足够
maxActive	连接池中最多支持多少个活动会话
maxWait	程序向连接池中请求连接时,超过maxWait的值后，认为本次请求失败，即连接池	100
	没有可用连接，单位毫秒，设置-1时表示无限等待
minEvictableIdleTimeMillis	池中某个连接的空闲时长达到 N 毫秒后, 连接池在下次检查空闲连接时，将	见说明部分
	回收该连接,要小于防火墙超时设置
	net.netfilter.nf_conntrack_tcp_timeout_established的设置
timeBetweenEvictionRunsMillis	检查空闲连接的频率，单位毫秒, 非正整数时表示不进行检查
keepAlive	程序没有close连接且空闲时长超过 minEvictableIdleTimeMillis,则会执	true
	行validationQuery指定的SQL,以保证该程序连接不会池kill掉,其范围不超
	过minIdle指定的连接个数。
minIdle	回收空闲连接时，将保证至少有minIdle个连接.	与initialSize相同
removeAbandoned	要求程序从池中get到连接后, N 秒后必须close,否则druid 会强制回收该	false,当发现程序有未
	连接,不管该连接中是活动还是空闲, 以防止进程不会进行close而霸占连接。	正常close连接时设置为true
removeAbandonedTimeout	设置druid 强制回收连接的时限，当程序从池中get到连接开始算起，超过此	应大于业务运行最长时间
	值后，druid将强制回收该连接，单位秒。
logAbandoned	当druid强制回收连接后，是否将stack trace 记录到日志中	true
testWhileIdle	当程序请求连接，池在分配连接时，是否先检查该连接是否有效。(高效)	true
validationQuery	检查池中的连接是否仍可用的 SQL 语句,drui会连接到数据库执行该SQL, 如果
	正常返回，则表示连接可用，否则表示连接不可用
testOnBorrow	程序 申请 连接时,进行连接有效性检查（低效，影响性能）	false
testOnReturn	程序 返还 连接时,进行连接有效性检查（低效，影响性能）	false
poolPreparedStatements	缓存通过以下两个方法发起的SQL:	true
	public PreparedStatement prepareStatement(String sql)
	public PreparedStatement prepareStatement(String sql,
	int resultSetType, int resultSetConcurrency)
maxPoolPrepareStatementPerConnectionSize	每个连接最多缓存多少个SQL	20
filters	这里配置的是插件,常用的插件有:	stat,wall,slf4j
	监控统计: filter:stat
	日志监控: filter:log4j 或者 slf4j
	防御SQL注入: filter:wall
connectProperties	连接属性。比如设置一些连接池统计方面的配置。
	druid.stat.mergeSql=true;druid.stat.slowSqlMillis=5000
	比如设置一些数据库连接属性:

5，JDBC练习

5.1 需求

完成商品品牌数据的增删改查操作

• 查询：查询所有数据
• 添加：添加品牌
• 修改：根据id修改
• 删除：根据id删除

5.2 案例实现

5.2.1 环境准备

• 数据库表 tb_brand

  -- 删除tb_brand表
  drop table if exists tb_brand;
  -- 创建tb_brand表
  create table tb_brand (-- id 主键id int primary key auto_increment,-- 品牌名称brand_name varchar(20),-- 企业名称company_name varchar(20),-- 排序字段ordered int,-- 描述信息description varchar(100),-- 状态：0：禁用  1：启用status int
  );
  -- 添加数据
  insert into tb_brand (brand_name, company_name, ordered, description, status)
  values ('三只松鼠', '三只松鼠股份有限公司', 5, '好吃不上火', 0),('华为', '华为技术有限公司', 100, '华为致力于把数字世界带入每个人、每个家庭、每个组织，构建万物互联的智能世界', 1),('小米', '小米科技有限公司', 50, 'are you ok', 1);
  

• jar包
  
  右键-》add as library…

• druid.properties （src目录下）

driverClassName=com.mysql.jdbc.Driver
url=jdbc:mysql:///db1?useSSL=false&useServerPrepStmts=true
username=root
password=1234
# 初始化连接数量
initialSize=5
# 最大连接数
maxActive=10
# 最大等待时间
maxWait=3000

• 在pojo包下实体类 Brand

package cn.whu.pojo;import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.ToString;/*** 品牌* alt+鼠标左键：整列编辑** 在实体类中，基本数据类型建议使用其对应的包装类型*/
@Data
@NoArgsConstructor
@AllArgsConstructor
@ToString
public class Brand {// id 主键private Integer id;// 品牌名称private String brand_name;// 企业名称private String company_name;// 排序字段private Integer ordered;// 描述信息private String description;// 状态：0：禁用  1：启用private Integer status; //别用int,其默认值为0,会有业务含义的   Integer包装类型默认值都是null,不会有业务含义
}

5.2.2 查询所有

 /*** 查询所有* 1. SQL：select * from tb_brand;* 2. 参数：不需要* 3. 结果：List<Brand>*/@Testpublic void testQueryAll() throws Exception {//1. 加载配置文件Properties prop = new Properties();prop.load(new FileInputStream("src/druid.properties"));//又不用jdbc-demo 视情况而定喽//2. 读取配置文件,获取连接DataSource dataSource = DruidDataSourceFactory.createDataSource(prop);Connection conn = dataSource.getConnection();//3. sqlString sql = "select * from tb_brand";//4. 执行对象: PreparedStatementPreparedStatement ps = conn.prepareStatement(sql);//5. 执行sql语句ResultSet rs = ps.executeQuery();//6. 处理结果List<Brand> list = new ArrayList<>();Brand brand = null;while (rs.next()){Integer id = rs.getInt("id");String brandName = rs.getString("brand_name");String companyName = rs.getString("company_name");Integer ordered = rs.getInt("ordered");String description = rs.getString("description");Integer status = rs.getInt("status");//Brand brand = new Brand(id, brandName, companyName, ordered, description, status);//建议用set方法而非构造函数 因为万一加需求，表改了，Brand增加字段 此处就会报错  但是set不容易报错//用set方法还可以服用brand引用变量brand = new Brand();brand.setId(id);brand.setBrandName(brandName);brand.setCompanyName(companyName);brand.setOrdered(ordered);brand.setDescription(description);brand.setStatus(status);list.add(brand);}for (Brand b : list) {System.out.println(b);}//7. 释放资源rs.close();ps.close();conn.close();}

@Before/@After 节省代码

package cn.whu.example;import cn.whu.pojo.Brand;
import com.alibaba.druid.pool.DruidDataSourceFactory;
import org.junit.After;
import org.junit.Before;
import org.junit.Test;import javax.sql.DataSource;
import java.io.FileInputStream;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.ArrayList;
import java.util.List;
import java.util.Properties;/**** 品牌数据的crud操作*/
public class BrandTest {Properties prop = null;DataSource dataSource = null;Connection conn = null;String sql = null;PreparedStatement ps = null;ResultSet rs = null;@Beforepublic void before() throws Exception {//1. 加载配置文件prop = new Properties();prop.load(new FileInputStream("src/druid.properties"));//又不用jdbc-demo 视情况而定喽//2. 读取配置文件,获取连接dataSource = DruidDataSourceFactory.createDataSource(prop);}@Afterpublic void after() throws Exception {//7. 释放资源rs.close();ps.close();conn.close();}@Testpublic void testQueryAll() throws Exception {//2. 获取连接dataSource = DruidDataSourceFactory.createDataSource(prop);conn = dataSource.getConnection();//3. sqlString sql = "select * from tb_brand";//4. 执行对象: PreparedStatementps = conn.prepareStatement(sql);//5. 执行sql语句rs = ps.executeQuery();//6. 处理结果List<Brand> list = new ArrayList<>();Brand brand = null;while (rs.next()) {Integer id = rs.getInt("id");String brandName = rs.getString("brand_name");String companyName = rs.getString("company_name");Integer ordered = rs.getInt("ordered");String description = rs.getString("description");Integer status = rs.getInt("status");brand = new Brand(id, brandName, companyName, ordered, description, status);         list.add(brand);}for (Brand b : list) {System.out.println(b);}}
}

• before&after

public class BrandTest {Properties prop = null;DataSource dataSource = null;Connection conn = null;String sql = null;PreparedStatement ps = null;ResultSet rs = null;@Beforepublic void before() throws Exception {//1. 加载配置文件prop = new Properties();prop.load(new FileInputStream("src/druid.properties"));//又不用jdbc-demo 视情况而定喽//2. 读取配置文件,获取连接dataSource = DruidDataSourceFactory.createDataSource(prop);}@Afterpublic void after() throws Exception {//7. 释放资源if(rs != null) rs.close(); //非查询操作 无ResultSetps.close();conn.close();}
}

5.2.3 添加数据

    /*** 添加记录* 1. sql: insert into tb_brand(brand_name, company_name, ordered, description, status) values(?,?,?,?,?);* 2. 除了id之外所有的参数* 3. 结果: boolean*/@Testpublic void testAdd() throws Exception {//模拟前端页面接收的参数String brandName = "香飘飘";String companyName = "香飘飘";int ordered = 1;String description = "绕地球一圈";int statues = 1;//2. 获取数据库连接conn = dataSource.getConnection();//3. 定义sql语句sql = "insert into tb_brand(brand_name, company_name, ordered, description, status) values(?,?,?,?,?);";//4. 执行对象: PreparedStatementps = conn.prepareStatement(sql);//5. 设置参数ps.setString(1, brandName);ps.setString(2, companyName);ps.setInt(3, ordered);ps.setString(4, description);ps.setInt(5, statues);//6. 执行sql语句int count = ps.executeUpdate();//count影响的行数boolean b = count > 0 ? true : false;System.out.println(b);if(b) testQueryAll();//插入成功就再查询一下}

5.2.4 修改数据

    /*** 修改记录* 1. SQL：update tb_brandset brand_name  = ?,company_name= ?,ordered     = ?,description = ?,status      = ?where id = ?* 2. 参数: 所有参数，id为修改条件* 3. 结果: boolean*/@Testpublic void testUpdate() throws Exception {//模拟前端页面接收的参数String brandName = "香飘飘";String companyName = "香飘飘";int ordered = 1000;String description = "绕地球三圈";int statues = 1;int id = 4;//2. 获取数据库连接conn = dataSource.getConnection();//3. 定义sql语句sql = "update tb_brand set brand_name=?, company_name=?, ordered=?, description=?,status=? where id=?";//4. 执行对象: PreparedStatementps = conn.prepareStatement(sql);//5. 设置参数ps.setString(1, brandName);ps.setString(2, companyName);ps.setInt(3, ordered);ps.setString(4, description);ps.setInt(5, statues);ps.setInt(6, id);//6. 执行sql语句int count = ps.executeUpdate();//count影响的行数boolean b = count > 0 ? true : false;System.out.println(b);//插入成功就再查询一下if(b) testQueryAll();}

5.2.5 删除数据

    /*** 删除记录* 1. sql: delete from tb_brand where id = ?* 2. 参数: id  (经常根据id删除数据)* 3. 结果: boolean*/@Testpublic void testDelete() throws Exception {//模拟前端页面接收的参数int id = 1;//2. 获取数据库连接conn = dataSource.getConnection();//3. 定义sql语句sql = "delete from tb_brand where id = ?"; //sql语句有没有';'无所谓//4. 执行对象: PreparedStatementps = conn.prepareStatement(sql);//5. 设置参数ps.setInt(1, id);//6. 执行sql语句int count = ps.executeUpdate();//count影响的行数boolean b = count > 0 ? true : false;System.out.println(b);//删除成功就再查询一下if(b) testQueryAll();}