使用JDBC对数据库进行CRUD的操作

   Jdbc中的statement对象用于向数据库发送SQL语句，想完成对数据库的增删改查，只需要通过这个对象向数据库发送增删改查语句即可。

  Statement对象的executeUpdate方法，用于向数据库发送增、删、改的sql语句，executeUpdate执行完后，将会返回一个整数(即增删改语句导致了数据库几行数据发生了变化)。

  Statement.executeQuery方法用于向数据库发送查询语句，executeQuery方法返回代表查询结果的ResultSet对象。

  CRUD操作-create

 

使用executeUpdate(String sql)方法完成数据添加操作，示例操作：

  Statement st = conn.createStatement();

 

String sql = "insert into user(….) values(…..) ";

 

int num =st.executeUpdate(sql);

 

if(num>0){

        System.out.println("插入成功！！！");

}

 

CRUD操作-updata

使用executeUpdate(String sql)方法完成数据添加操作，示例操作：

 

Statement st =conn.createStatement();

 

String sql = “update user set name=‘’ where name=‘’";

 

int num =st.executeUpdate(sql);

 

if(num>0){

        System.out.println(“修改成功！！！");

}

 

CRUD操作-delete

使用executeUpdate(String sql)方法完成数据删除操作，示例操作：

 

Statement st =conn.createStatement();

 

String sql = “delete from user where id=1;

 

int num =st.executeUpdate(sql);

 

if(num>0){

        System.out.println(“删除成功！！！");

}

 

：CRUD操作-read

 

使用executeQuery(String sql)方法完成数据查询操作，示例操作：

Statement st =conn.createStatement();

 

String sql = “select * from user where id=1;

 

ResultSet rs =st.executeUpdate(sql);

 

while(rs.next()){

        //根据获取列的数据类型，分别调用rs的相应方法

        //映射到java对象中

}

 

 

防范sql注入攻击

 

SQL 注入是用户利用某些系统没有对输入数据进行充分的检查，从而进行恶意破坏的行为。

1、statement存在sql注入攻击问题，例如登陆用户名采用' or 1=1 or name='

2、防范 SQL 注入，需要采用PreparedStatement取代Statement。

 

PreperedStatement是Statement的孩子，它的实例对象可以通过调用Connection.preparedStatement()方法获得，相对于Statement对象而言：

?        PreperedStatement可以避免SQL注入的问题。

?        Statement会使数据库频繁编译SQL，可能造成数据库缓冲区溢出。PreparedStatement 可对SQL进行预编译，从而提高数据库的执行效率。

?        并且PreperedStatement对于sql中的参数，允许使用占位符的形式进行替换，简化sql语句的编写。

 

数据库分页

 

MySQL分页的实现：

?        Select * from table limit M,N

?        M：记录开始索引位置

?        N：取多少条记录。

 

 

 对于数据库的ＣＲＵＤ操作是我们实现与数据库进行交互的最基本的操作，我们应当熟练、准确的使用它。