学习目标：
🔸了解JDBC是什么，以及定义它有什么好处
🔸掌握使用JDBC访问数据库
🔸掌握使用JDBC进行增删改查
🔸掌握数据库注入问题，以及怎么解决数据库注入问题。面试经常问到的问题
🔸掌握事务的使用，以及为什么需要事务。
❗理解事务的四大特性，ACID。能用自己的话讲出来
🔸事务的隔离级别（面试）

准备的数据

1
DROP TABLE IF EXISTS `market_user`;
2
CREATE TABLE `market_user`  (
3
  `id` int NOT NULL AUTO_INCREMENT,
4
  `username` varchar(63) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL COMMENT '用户名称',
5
  `password` varchar(63) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL DEFAULT '' COMMENT '用户密码',
6
  `gender` tinyint NOT NULL DEFAULT 0 COMMENT '性别：0 未知， 1男， 1 女',
7
  `birthday` date NULL DEFAULT NULL COMMENT '生日',
8
  `last_login_time` datetime NULL DEFAULT NULL COMMENT '最近一次登录时间',
9
  `last_login_ip` varchar(63) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL DEFAULT '' COMMENT '最近一次登录IP地址',
10
  `user_level` tinyint NULL DEFAULT 0 COMMENT '0 普通用户，1 VIP用户，2 高级VIP用户',
11
  `nickname` varchar(63) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL DEFAULT '' COMMENT '用户昵称或网络名称',
12
  `mobile` varchar(20) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL DEFAULT '' COMMENT '用户手机号码',
13
  `avatar` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL DEFAULT '' COMMENT '用户头像图片',
14
  `weixin_openid` varchar(63) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL DEFAULT '' COMMENT '微信登录openid',
15
  `session_key` varchar(100) CHARACTER SET utf8mb4 COLLATE utf8mb4_general_ci NOT NULL DEFAULT '' COMMENT '微信登录会话KEY',
16
  `status` tinyint NOT NULL DEFAULT 0 COMMENT '0 可用, 1 禁用, 2 注销',
17
  `add_time` datetime NULL DEFAULT NULL COMMENT '创建时间',
18
  `update_time` datetime NULL DEFAULT NULL COMMENT '更新时间',
19
  `deleted` tinyint(1) NULL DEFAULT 0 COMMENT '逻辑删除',
20
  PRIMARY KEY (`id`) USING BTREE,
21
  UNIQUE INDEX `user_name`(`username` ASC) USING BTREE
22
) ENGINE = InnoDB AUTO_INCREMENT = 81 CHARACTER SET = utf8mb4 COLLATE = utf8mb4_general_ci COMMENT = '用户表' ROW_FORMAT = DYNAMIC;
23

24
-- ----------------------------
25
-- Records of market_user
26
-- ----------------------------
27
INSERT INTO `market_user` VALUES (1, 'user123', 'zhangsan', 1, NULL, '2023-08-18 12:11:40', '58.48.227.81', 0, 'user123', '', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2019-04-20 22:17:43', '2023-08-18 12:11:40', 0);
28
INSERT INTO `market_user` VALUES (3, 'wuyanzu', '123456', 0, NULL, '2023-06-20 10:10:35', '111.175.54.67', 0, '王道吴彦祖', '13125136973', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-14 22:08:44', '2023-06-20 10:59:42', 0);
29
INSERT INTO `market_user` VALUES (4, 'prc123', '$2a$10$COk1E1Bl3Muyh2KDyJDaf..T9tF0SsW2l3TIAqUZ0L8hVHjOQwxGu', 0, NULL, '2023-08-10 23:24:00', '171.113.246.131', 0, 'prc123', '18356813839', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-15 10:42:26', '2023-08-10 23:24:00', 0);
30
INSERT INTO `market_user` VALUES (5, 'gong15', '$2a$10$bT9i3Hll8BJkpVTl8VDxC.0c0vOHN3rStxWvOPZb/Tjyuf2jGAJGq', 0, NULL, '2023-08-11 11:27:43', '94.124.79.238', 0, 'gong15', '16652042056', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-15 13:50:33', '2023-08-11 11:27:43', 0);
31
INSERT INTO `market_user` VALUES (6, 'userDev', '$2a$10$7QhrMy8Z5ivXtWn9KF8kMuMGNT4oXvAW8xUXtfsA85eV1ISBk5b66', 0, NULL, '2023-06-19 22:58:07', '111.175.54.67', 0, 'userDev', '19901758884', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-15 14:18:28', '2023-06-19 22:58:07', 0);
32
INSERT INTO `market_user` VALUES (7, 'chuliuxiang ', '$2a$10$ck9HG4.YG.8P6v.kPxtCT.PEuUOAgImMe9N.MXfIquqR8y2l6D6LS', 0, NULL, '2023-06-19 19:45:19', '111.175.54.67', 0, '长风', '15884987189', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-15 15:27:18', '2023-06-19 19:45:19', 0);
33
INSERT INTO `market_user` VALUES (8, 'test666', '$2a$10$XZWF0ug8G3VOPaPJPa4oLOC73jh6Nduqj4WD5uehewzLHhTHYIDAe', 0, NULL, '2023-06-20 09:42:40', '111.175.54.67', 0, 'test666', '18953390164', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-15 17:25:00', '2023-06-20 09:42:40', 0);
34
INSERT INTO `market_user` VALUES (9, 'zbt123', '$2a$10$XkGSJRe7HcDVF.RK8aPDR.ngE/L2BAQ25w0005ynZFy698VflqPmi', 0, NULL, '2023-08-10 23:25:13', '171.113.246.131', 0, 'zbt123', '18291788583', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-15 20:33:46', '2023-08-10 23:25:13', 0);
35
INSERT INTO `market_user` VALUES (10, 'wcp123', '$2a$10$qX4J/8Qg3.WvcHtRqEJ.Luz9CYxHVtMXp1L1YCXQdIG.Euj1VluGC', 0, NULL, '2023-06-20 15:28:18', '111.175.54.67', 0, 'wcp123', '17319906315', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-15 20:35:15', '2023-06-20 15:28:18', 0);
36
INSERT INTO `market_user` VALUES (11, 'kkkira', '$2a$10$90kssTlguZkrUk.wBGG6EuidyWHA7MYJLBTVDAgvwZbVE.cw9mYnC', 0, NULL, '2023-06-20 10:47:57', '111.175.54.67', 0, 'kkkira', '18247931028', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-16 08:56:00', '2023-06-20 10:47:57', 0);
37
INSERT INTO `market_user` VALUES (12, 'wcwcwc', '$2a$10$M.54d//ylnT1nOJEBCQ9j.ByFk0HfBjHqE1mDVsxBbDPuqwzn8vfa', 0, NULL, '2023-06-20 10:04:44', '111.175.54.67', 0, 'wcwcwc', '15730336955', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-16 09:00:00', '2023-06-20 10:04:44', 0);
38
INSERT INTO `market_user` VALUES (13, 'root123', '$2a$10$F4bRsKrfG6OkalkSYcY2PeuLQU502aetU0QKJ9szbI30uMFKIZ6bi', 0, NULL, '2023-06-19 10:42:23', '111.175.54.67', 0, 'root123', '15093474161', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-16 09:07:21', '2023-06-19 14:01:25', 0);
39
INSERT INTO `market_user` VALUES (14, 'jiuzhe123', '$2a$10$nS3n/q7jx1l654QvH03Z/OIo6PNqA8NK4TOcO9IznY5ntsz5fS9y.', 0, NULL, '2023-06-19 19:49:25', '111.175.54.67', 0, 'jiuzhe123', '', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-16 13:59:24', '2023-06-19 19:49:25', 0);
40
INSERT INTO `market_user` VALUES (15, 'gym123', 'gym123', 0, NULL, '2023-06-16 14:00:40', '111.175.54.67', 1, 'gym123', '19829483892', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-16 14:00:40', '2023-06-18 12:02:45', 0);
41
INSERT INTO `market_user` VALUES (16, 'root1234', '$2a$10$KOQAqSuRA7ONSasdIZX9Iuf9qqMkAlySMHASa208HXDeOERtIx3Eq', 0, NULL, '2023-06-16 14:04:34', '111.175.54.67', 0, 'root1234', '13101708526', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-16 14:04:34', '2023-06-16 14:04:34', 0);
42
INSERT INTO `market_user` VALUES (17, 'lwb123', '$2a$10$ihbmrftjKPuXnjSnL7F7LeOHnI/N5Yi/UX0KzrB/zFCkO6o1ASzru', 0, NULL, '2023-08-11 11:24:19', '171.113.246.131', 0, 'lwb123', '18657677196', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-16 17:08:26', '2023-08-11 11:24:19', 0);
43
INSERT INTO `market_user` VALUES (18, 'lxf123', '$2a$10$X/ecKXHqW9rKs2byXlyJ8O293chEAkomdJyTZOzzZUj7LC7TtXuoq', 0, NULL, '2023-06-20 16:12:30', '111.175.54.67', 2, 'lxf123', '18703333714', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 1, '2023-06-16 20:59:33', '2023-06-20 16:12:30', 0);
44
INSERT INTO `market_user` VALUES (19, 'gatva1', '$2a$10$QcZr62bcHl4yF9JVTgxTpu1Ejms.v/F7jKmvwnQCcdouTYnq.b56a', 0, NULL, '2023-06-16 21:26:49', '103.47.100.211', 0, 'gatva1', '17366620700', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-16 21:26:49', '2023-06-16 21:26:49', 0);
45
INSERT INTO `market_user` VALUES (20, 'kangkang', '$2a$10$i4Admnm7pYQLExX5yPeiMePmcVelYtQtRtBQ7NHsjJG55Y9Utq746', 0, NULL, '2023-06-20 16:54:32', '111.175.54.67', 0, 'kangkang', '18253095209', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-17 16:50:55', '2023-06-20 16:54:32', 0);
46
INSERT INTO `market_user` VALUES (21, 'admin123', '$2a$10$tUK1H15cNXvrS8.uQ0uJX.bpO5i3MsD5w2zclTbsSYOJGcffMI5vK', 0, NULL, '2023-08-12 17:16:42', '171.43.248.189', 0, 'admin123', '18342284085', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-17 22:01:26', '2023-08-12 17:16:42', 0);
47
INSERT INTO `market_user` VALUES (22, '123456', '$2a$10$n0Gs00i0WiUCNYqAaEDcNefOZw2H02QnRXeiavB.nIVDvRnHL3Ipi', 0, NULL, '2023-06-19 09:36:11', '111.175.54.67', 0, '123456', '18071721834', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-18 18:22:42', '2023-06-19 09:38:45', 0);

介绍#

数据库的访问过程#

JDBC是什么#

JDBC（Java Database Connectivity）是Java程序与数据库进行交互的一种标准接口。它定义了一组Java API，使得Java程序可以通过这些API来连接和操作各种关系型数据库（如MySQL、Oracle、SQL Server等），执行SQL语句并处理查询结果。JDBC提供了一种跨平台、可移植的方式来访问数据库，使得Java程序可以与不同的数据库进行通信而无需改变代码。JDBC的主要优点包括：可移植性、可靠性、安全性和易于使用。

JDBC具体指的就是 Java的一套标准的连接数据库的接口。

那么标准的接口具体在哪儿呢？指的是哪些接口呢？（rt.jar内部的）

java.sql
javax.sql

JDBC怎么用#

第一个JDBC程序#

新建项目
导包

导包是指导入其他的人或者是组织写的代码。
如何导包呢？
1. 下载包
  
  下载仓库地址
  
  MySQL驱动包下载地址
2. 把包复制到项目中，并且加载进来
  
  .jar：这个格式是一种压缩格式，和 .zip，.rar是类似的，这种类型的文件，可以被Java识别并且运行。
  
  .jar文件中都是一些 .class文件，是可以直接运行的
  
  接下来，需要把对应的jar包添加到library里面去。对着jar包右键

编写应用程序

1
// 1. 加载驱动  {@Link java.sql.Driver   impl : com.mysql.jdbc.Driver}
2
DriverManager.registerDriver(new Driver());
3

4

5
//        String url = "协议 + ip + 端口 + 路径 + 参数";
6
String url = "jdbc:mysql://localhost:3306/market?useSSL=false&characterEncoding=utf8&serverTimezone=GMT%2B8";
7
String username = "root";
8
String password = "123456";
9

10
// 2. 发送用户名和密码，建立连接
11
// 返回的当前是一个Connection接口，但是实际上在运行的时候，返回是Connection接口的实现类的实例
12
Connection connection = DriverManager.getConnection(url, username, password);
13

14
// 3. 获取statement对象
15
Statement statement = connection.createStatement();
16

17
// 4. 发送SQL语句
18
int affectedRows = statement.executeUpdate("INSERT INTO `market_user` VALUES (23, 'stone1024', '$2a$10$n0Gs00i0WiUCNYqAaEDcNefOZw2H02QnRXeiavB.nIVDvRnHL3Ipi', 0, NULL, '2023-06-19 09:36:11', '111.175.54.67', 0, '123456', '13971721834', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-18 18:22:42', '2023-06-19 09:38:45', 0);");
19

20
// 5. 解析结果集
21
System.out.println("affectedRows:" + affectedRows);
22

23
// 6. 断开连接
24
statement.close();
25
connection.close();

MySQL版本5.7。我们选驱动可以选 5.1.47 48 49；都可以。 8的也可以。

MySQL8的版本。只能选8(比如8.0.30)，不要选5的版本。

使用JDBC进行增删改查#

statement的什么方法？

增#

1
// 3. 发送SQL语句
2
// 返回值是个int，代表影响的行数。 新增的行数
3
int affectedRows = statement.executeUpdate("INSERT INTO `market_user` VALUES (23, 'stone1024', '$2a$10$n0Gs00i0WiUCNYqAaEDcNefOZw2H02QnRXeiavB.nIVDvRnHL3Ipi', 0, NULL, '2023-06-19 09:36:11', '111.175.54.67', 0, '123456', '13971721834', 'https://yanxuan.nosdn.127.net/80841d741d7fa3073e0ae27bf487339f.jpg?imageView&quality=90&thumbnail=64x64', '', '', 0, '2023-06-18 18:22:42', '2023-06-19 09:38:45', 0);");

删#

增、删、改都是一样的，都是使用 statement.executeUpdate(String sql) 来执行SQL语句，返回的结果也是一样的，都是影响的行数。

1
// 3. 发送SQL语句
2
// 返回值是个int，代表影响的行数。 删除的行数
3
int affectedRows = statement.executeUpdate("delete from market_user where id = 23");

改#

1
int affectedRows = statement.executeUpdate("update stu set name = '孔二愣子',class='五班' where id = 4"

查#

1
// 3. 发送SQL语句
2
// resultSet指结果集对象，具体指代查询返回的临时表对象
3
ResultSet resultSet = statement.executeQuery("select * from stu");
4

5

6
//  解析结果集
7
while (resultSet.next()) {
8

9
  int id = resultSet.getInt("id");
10
  String name = resultSet.getString("name");
11
   int age = resultSet.getInt("age");
12
  String className = resultSet.getString("class");
13

14
  System.out.println("id:" + id);
15
  System.out.println("name:" + name);
16
  System.out.println("age:" + age);
17
  System.out.println("className:" + className);
18

19
}

API#

查看类中所有方法的快捷键：ctrl + F12

DriverManager#

驱动管理器。可以帮助我们管理驱动，获取连接

1
// 注册驱动
2
DriverManager.registerDriver(new Driver);
3

4
// 获取连接
5
// 在代码实际运行的时候，一定不可能光是一个接口，一定是一个实现类。（是MySQL提供的一个实现类。）
6
// 获取到的连接对象实际上是 JDBC4Connection 对象
7
Connection conn = DriverManager.getConnection(String url,String username,String password);

Connection#

指代连接对象。在JDBC中是一个接口，在我们使用JDBC的时候，实际上实现类是 com.mysql.jdbc.JDBC4Connection 对象。

1
// 获取statement
2
// 通过statement对象来执行SQL
3
Statement stat = connection.createStatement();
4

5
// 关闭连接
6
connection.close();
7

8
// 事务相关的API
9
connection.commit();
10
connection.rollback();
11
connection.setAutoCommit(false);

Statement#

The object used for executing a static SQL statement and returning the results it produces.

statement对象其实就是用来去执行SQL语句，并且返回这个SQL语句产生的结果集。实际上我们在使用的时候，其实是用的Statement接口的实现类 com.mysql.jdbc.StatementImpl

1
// 执行增删改的方法。新增数据的SQL，删除数据的SQL，修改数据的SQL
2
int affectedRows = statement.executeUpdate(String updateSql);
3

4
// 执行查询的方法
5
ResultSet rs  = statement.executeQuery(String querySql);
6

7
// 拿到一个ResultSet，怎么从里面获取数据。 当一个迭代器的方法使用。
8

9
// 关闭
10
statement.close();
11

12
// 执行sql语句
13
Boolean ret = statement.execute(String sql);
14

15
// 如果 ret == true，那么说明执行的是查询语句  statement.getResultSet();
16
// 如果 ret == false，那么说明执行的是增删改语句 statement.getUpdateCount();
17
// 获取影响的行数: statement.getUpdateCount();
18
// 获取返回的结果集：statement.getResultSet();
19

20

21
// 练习一下怎么去组织语言（prompt）
22
// 我是Java学习者，我在学习JDBC的时候，遇到了一个Statement接口，里面有一个execute()方法，我不知道如何去使用
23
你的任务如下： 1.简单告诉一下我它的大致作用   2.给我写个demo，示例，让我快速知道如何去使用它。

ResultSet#

这个对象表示查询的结果集。

在查询的结果集中，有一个游标，游标可以移动，移动的时候会扫描一些行，那么对于这些扫描到的行，我们就可以获取对应的列的值。

1
// 移动游标方法
2

3
// 向下移动
4
Boolean ret = resultSet.next();
5

6
// 向上移动
7
Boolean ret = resultSet.previous();
8

9
// 定位到第一行之前
10
resultSet.beforeFirst();
11

12
// 定义到最后一行之后
13
resultSet.afterLast();
14

15

16
// 获取值的方法
17
resultSet.getInt(String columnName);
18
resultSet.getString(String columnName);
19
resultSet.getDate(String columnName);

JDBC的优化#

提取工具类
连接配置放入到配置文件中
注册驱动利用反射，解耦
关闭资源（提取公共方法）

1
public class JDBCUtils {
2

3
  static String url;
4
  static String username;
5
  static String password;
6
  static String driver;
7

8
  static {
9

10
    Properties properties = new Properties();
11
    try {
12
      properties.load(new FileInputStream("jdbc.properties"));
13
    } catch (IOException e) {
14
      e.printStackTrace();
15
    }
16

17

18
    url = properties.getProperty("url");
19
    username = properties.getProperty("username");
20
    password = properties.getProperty("password");
21
    driver = properties.getProperty("driverClassName");
22
  }
23

24

25
  // 获取连接
26
  public static Connection getConnection(){
27

28
    Connection connection = null;
29
    try {
30
      Class.forName(driver);
31
      connection = DriverManager.getConnection(url, username, password);
32
    }catch (Exception ex) {
33
      ex.printStackTrace();
34
    }
35

36
    return connection;
37
  }
38

39

40

41
  // 关闭资源
42
  public static void  close(Connection connection, Statement statement, ResultSet resultSet){
43

44
    try {
45

46
      if (resultSet != null) resultSet.close();
47
      if (statement!= null) statement.close();
48
      if (connection != null) connection.close();
49

50
    }catch (Exception ex) {
51
      ex.printStackTrace();
52
    }
53

54

55
  }
56
}

数据库注入问题（关注）#

数据库注入是一种常见的网络安全漏洞，攻击者利用这种漏洞向网站或应用程序的数据库中插入恶意代码，从而获取敏感信息、执行非法操作等。例如：
假设有一个登录页面，用户需要输入用户名和密码才能登录。该页面的后端代码使用SQL查询语句来验证用户的身份，例如：
1
SELECT * FROM user WHERE username = 'input_username' AND password = 'input_password';
其中，‘input_username’和’input_password’是用户在登录页面上输入的值。如果用户输入的值与数据库中的值匹配，则允许用户登录，否则拒绝登录。
然而，攻击者可以在输入框中输入一些恶意代码，例如：
1
input_username: root
2
input_password: xxx' or ' 1=1
这个输入会更改SQL查询语句，变成：
1
-- 下面这条SQL的含义，是这样的   1=1是恒等的，所以where条件相当于会没有任何条件
2
-- SELECT * FROM users WHERE (username = 'admin' AND password = 'xxx') or '1=1';
3
SELECT * FROM users WHERE username = 'admin' AND password = 'xxx' or ' 1=1';
4

5
SELECT * FROM users WHERE username = 'admin' AND password = 'xxx' ;drop database test1';
这个SQL语句的含义是“从users表中选择任何一个行，其中用户名为空或1等于1，并且密码为空”。由于1等于1始终为真，因此这个SQL语句将返回users表中的所有行，从而绕过了身份验证，攻击者可以以任何用户的身份登录系统。这就是一个典型的SQL注入攻击。
为了避免SQL注入攻击，必须对用户输入的值进行过滤和转义，或使用预处理语句等安全措施来防范这种攻击。
主要的原因是字符串拼接，把用户的一些输入当做了关键字。

1
public static void main(String[] args) throws SQLException {
2

3
  //        Boolean ret = login("天明", "upan");
4

5
  // select * from user where name = 'xxx' and password = 'xxx';
6
  // select * from user where name = 'xxx' and password = 'xxx' or '1=1';
7

8
  Boolean ret = login("xxx", "xxx' or '1=1");
9

10

11
  if (ret) {
12
    System.out.println("登录成功！");
13

14
  }else {
15
    System.out.println("登录失败");
16
  }
17
}
18

19
// 登录方法
20
public static Boolean login(String username,String password) throws SQLException {
21

22
  // 传入用户名和密码。根据用户名和密码查询用户，假如查询到了，说明登录成功；如果没查到，登录失败
23
  Connection connection = JDBCUtils.getConnection();
24

25
  Statement statement = connection.createStatement();
26

27
  String sql = "select * from user where name = '"+username+"' and password = '"+password+"'";
28

29
  System.out.println(sql);
30

31
  ResultSet resultSet = statement.executeQuery(sql);
32

33
  if (resultSet.next()) {
34

35
    return true;
36
  }else {
37
    return  false;
38
  }
39

40
}

数据库注入问题产生的原因：因为SQL语句是通过字符串拼接的，这个时候用户可能输入一些字符，这些字符中包含有SQL语句中的关键字，那么通过字符串拼接SQL语句之后，可能会改变SQL语句的格式，进而引发安全性的问题。
根本的原因：MySQL把用户输入的参数当做关键字来解析了

如何解决数据库注入问题呢？

PrepareStatement（预编译的Statement）

1
// 登录方法2
2
public static Boolean login2(String username,String password) throws SQLException {
3

4
  // 1. 获取连接
5
  Connection connection = JDBCUtils.getConnection();
6

7
  // 2. 获取PreparedStatement
8
  // 这一步，在创建PreparedStatement的时候，PreparedStatement会把当前这个没有参数的SQL语句，发送给MySQL服务器，执行预编译
9
  // 预编译：其实就是去解析这个SQL语句中的关键字，变成MySQL可以执行的命令
10
  // 在预编译之后，后续输入的字符串，就只会被MySQL当成纯文本来解析
11
  PreparedStatement preparedStatement = connection.prepareStatement("select * from user where name = ? and password = ?");
12

13

14
  // 3. 设置参数
15
  // 序号从 1 开始
16
  preparedStatement.setString(1,username);
17
  preparedStatement.setString(2,password);
18

19

20
  // 4. 传递参数，执行SQL语句
21
  ResultSet resultSet = preparedStatement.executeQuery();
22

23
  if (resultSet.next()) {
24
    return true;
25
  }else {
26
    return false;
27
  }
28
}

总结：

在安全性方法，PreparedStatement比Statement要好很多，没有数据库的注入问题

在效率方面，执行单次SQL语句的时候，Statement的效率比PreparedStatement要好一些

因为Statement在执行一条SQL语句的时候，只会与数据库通信一次，而PreparedStatement要通信两次

preparedStatement使用的比statement多很多。statement几乎不用。

后面的SQL注入，底层都是通过PreparedStatement来解决的SQL注入问题
这里在后面学习MyBatis时会涉及一个非常重要的面试题：${} 和 #{}之间的区别

批处理（了解）#

比如，你想往数据库里面插入大量数据。 100w

其实就是批量的处理SQL语句，典型的业务场景就是一次插入大量的数据。在今后，如果需要大家使用JDBC批量插入数据，可以使用这些方法。

for循环逐条插入#

1
// for循环来做
2
public static void batchUseForEach() throws SQLException {
3

4
    Statement statement = connection.createStatement();
5

6
    for (int i = 0; i < 10000; i++) {
7

8
        String sql = "insert into user values ("+i+",'foreach',null,null)";
9

10
        statement.executeUpdate(sql);
11

12
    }
13
}

向MySQL服务器发送了SQL语句 1w次，SQL语句被编译了1w次，SQL语句也被执行了1w次

statement批处理#

1
// Statement 来处理
2
public static void batchUseStatement() throws SQLException {
3

4
    Statement statement = connection.createStatement();
5

6
    for (int i = 10000; i < 20000; i++) {
7
        String sql = "insert into user values ("+i+",'batchUseStatement',null,null)";
8
        // 相当于在内部有一个容器。
9
        statement.addBatch(sql);
10
    }
11

12
    // 发送SQL语句，执行
13
    statement.executeBatch();
14

15
}

向MySQL服务器发送了SQL语句 1次，这一次中包含1w条SQL语句信息，SQL语句被编译了1w次，SQL语句也被执行了1w次

PreparedStatement批处理#

需要在数据库的url后面加上配置：rewriteBatchedStatements=true ，表示开启批处理

1
// PreparedStatement来处理
2
public static void batchUsePrepapreStatement() throws SQLException {
3

4
    // 获取PreparedStatement
5
    PreparedStatement preparedStatement = connection.prepareStatement("insert into user values (?,?,null,null)");
6

7

8
    // 循环，设置参数
9
    for (int i = 20000; i < 30000; i++) {
10

11
        preparedStatement.setInt(1,i);
12
        preparedStatement.setString(2,"PrepapreStatement");
13

14
        preparedStatement.addBatch();
15

16
    }
17

18
    // 把参数发送给MySQL服务器，执行SQL语句
19
    preparedStatement.executeBatch();
20

21
    // insert into user values (),(),(),(),();
22

23
}

与MySQL通信了2次，SQL语句被编译了一次，SQL语句被执行了一次

插入n条数据

for循环，通讯n次，编译n次，执行n次

statement，通讯1次，编译n次，执行n次

prepareStatement，通讯2次，编译1次，执行1次

假如需要批处理n条SQL语句，开启了rewriteBatchedStatements之后

	通信次数	编译次数	执行次数	时间
for循环	n	n	n	最长
Statement	1	n	n	次之
PreparedStatement	2	1	1	最短

事务 Transaction Tx#

介绍#

数据库事务( transaction)是访问并可能操作各种数据项的一个数据库操作序列，这些操作要么全部执行,要么全部不执行，是一个不可分割的工作单位。事务由事务开始与事务结束之间执行的全部数据库操作组成。

事务就是要保证一组数据库操作，要么全部成功，要么全部失败。

比如转账操作，涉及到几个方面。

账户余额表。 zs 1000 | ls 5000

现在zs要给ls转账，转500。现在在数据库里面，我们要进行两步操作。

扣zs的钱，扣500
给ls增加钱，增加500

A给B转账。涉及到两个操作，需要给A账户扣钱，然后给B账户增加钱。

如果在这个操作的过程中，出现了异常。可能会导致A账户的钱扣了，B账户的钱没有增加。

使用事务#

开启事务

提交事务

回滚事务

API

1
//  开启事务
2
connection.setAutoCommit(false);
3

4
A
5
B
6
// 设置回滚点
7
setSavePoint();
8

9
C
10
D
11
E
12

13

14
// 提交事务
15
connection.commit();
16

17
// 回滚事务
18
connection.rollback();

命令

1
# 开始事务
2
start transaction;
3

4
# 提交事务
5
commit;
6

7
# 回滚事务
8
rollback;

1
create table account_t(
2
    id int primary key auto_increment,
3
    name varchar(50),
4
    money int ,
5
    create_time timestamp  default current_timestamp ,
6
    update_time timestamp  default current_timestamp on update current_timestamp
7
);
8

9
-- 插入一条数据： 朱七   50000
10
insert into account_t(name, money) values ('张三',   50000);
11
insert into account_t(name, money) values ('李四',   20000);
12
insert into account_t(name, money) values ('王五',   10000);
13
insert into account_t(name, money) values ('赵六',   10000);
14

15
-- name是唯一的。

1
private static boolean transfer(String fromName, String toName, int money) throws SQLException, ClassNotFoundException {
2

3
  // 1.获取连接
4
  Connection connection = JdbcUtils.getConnection();
5

6
  // 2.开启事务
7
  connection.setAutoCommit(false);
8

9
  try {
10
    // 3.1 扣A的钱
11
    // update account set money = money - ? where name = ? and money > ?
12
    PreparedStatement preparedStatementA = connection.prepareStatement("update account set money = money - ? where name = ? and " + "money > ?");
13
    preparedStatementA.setInt(1, money);
14
    preparedStatementA.setString(2, fromName);
15
    preparedStatementA.setInt(3, money);
16

17
    int affectedRowsA = preparedStatementA.executeUpdate();
18
    System.out.println(affectedRowsA);
19

20
    if (affectedRowsA != 1) {
21
      throw new RuntimeException("A账户信息不对" + affectedRowsA);
22
    }
23

24
    //int i = 1 / 0;
25

26

27
    // 3.2 增加B账户的钱
28
    // update account set money = money + ? where name = ?
29
    PreparedStatement preparedStatementB = connection.prepareStatement("update account set money = money + ? where name = ? ");
30
    preparedStatementB.setInt(1, money);
31
    preparedStatementB.setString(2, toName);
32

33
    int affectedRowsB = preparedStatementB.executeUpdate();
34
    System.out.println(affectedRowsB);
35

36
    if (affectedRowsB != 1) {
37
      throw new RuntimeException("B账户信息不对" + affectedRowsB);
38
    }
39

40
    connection.commit();
41

42
  } catch (Exception e) {
43
    e.printStackTrace();
44
    connection.rollback();
45
    return false;
46
  }
47

48

49
  return true;
50
}

特性#

事务通常具有四个标准特性（ACID）：

原子性（Atomicity）

事务是一个不可分割的操作单元（数据库的操作），事务中的操作要么就都成功，要么就都不成功。
一致性（Consistency）

事务必须使数据库从一个一致性状态到另外一个一致性状态。

在转账案例中，一致性是指在转账前和转账后，（无论怎么转账），钱的总金额是前后一致的，不变的
隔离性（Isolation）

事务与事务之间是互相隔离的，互不影响的。

数据库有为隔离性设置不同的隔离级别。不同的隔离级别对于隔离性的影响是不一样的
持久性（Durability）

一个事务一旦生效，那么对数据库的改变是永久的，不可逆转的。意思就是提交了事务之后，就已经对数据库产生的变化，那么后续再回滚就回滚不了了

一般问事务的四大特性。直接说出这几个的中文。

隔离级别#

当数据库有多个事务同时执行的时候，可能会出现问题。

脏读（dirty read）、不可重复读（non-repeatable read）、幻读（phantom read）的问题。

脏读

一个事务读取到了另外一个事务没有提交的数据。（这个比较严重）
不可重复读

在同一个事务中，读取同一个数据，前后读取的数据不一致。
通常指的是，在一个事务中，读取到了另外一个事务已经提交的数据。
（虚）幻读

指在同一个事务中，读取同一个表数据，前后读取的数量不一致。
通常指的是，在一个事务，读取到了另外一个事务插入或者删除的数据。

事务的隔离级别：

一个参数，可以用来控制事务和事务之间的隔离性。

读未提交（read uncommitted）

读未提交是指，一个事务还没提交时，它做的变更就能被别的事务看到。
会产生脏读。不可重复读，幻读会不会造成？
读已提交 (read committed)

读提交是指，一个事务提交之后，它做的变更才会被其他事务看到。
可重复读 (repeatable read)

这个是MySQL默认的隔离级别
可重复读是指，一个事务执行过程中看到的数据，总是跟这个事务在启动时看到的数据是一致的。当然在可重复读隔离级别下，未提交变更对其他事务也是不可见的。

串行化 (serializable)

串行化，顾名思义是对于同一行记录，“写”会加“写锁”，“读”会加“读锁”。当出现读写锁冲突的时候，后访问的事务必须等前一个事务执行完成，才能继续执行。
实际工作中很少采用该级别。

注意：你隔离得越严实，效率就会越低。因此很多时候，我们都要在二者之间寻找一个平衡点。

隔离级别\事务并发引起的问题	脏读	不可重复读	虚读/幻读
读未提交（read uncommitted）	×	×	×
读已提交(read committed)	√	×	×
可重复读(repeatable read)	√	√	×
串行化(serializable)	√	√	√

演示#

继续使用transaction这个库，我们使用其中的account_t这个表

1
# 代表我进入之后不用调用 use market  直接进入这个库
2
mysql -uroot -p123456 market

1
# 获取当前数据库的隔离级别
2
select @@transaction_isolation;
3
select @@tx_isolation;
4

5
# 设置隔离级别
6
set global transaction isolation level 隔离级别;
7

8
set global transaction isolation level repeatable read; -- 设置隔离级别为可重复读
9

10
# 读未提交
11
read uncommitted;
12
# 读已提交
13
read committed;
14

15
# 可重复读
16
repeatable read
17

18
# 串行化
19
serializable;
20

21
# 注意。设置了隔离级别。必须要重新连接一下，才能生效。

脏读问题#

设置隔离级别为读未提交，在左边的事务执行查询，右边的事务执行数据更新，左边再次执行查询时数据产生了变化

设置隔离级别为读已提交，则可以解决脏读问题

不可重复读#

设置隔离级别为读已提交，在左边的事务执行查询，右边的事务执行数据更新，并且执行事务提交，左边再次执行查询时数据产生了变化，这时候就是不可重复读问题

设置隔离级别为可重复读，可以解决不可重复读问题。

大家在上图也可以看出，左边两次查询出来的数据没有产生变化

(虚)幻读#

先仍然使用读已提交这个隔离级别，左边先执行查询，右边执行删除(或新增)操作，然后执行事务提交，左边查询到的数据量发生了变化，这就是(虚)幻读

现在将隔离级别调整为可重复读

MySQL的可重复，可以解决部分幻读问题，不能完全解决。

MySQL的InnoDB存储引擎在可重复读（REPEATABLE READ）隔离级别下使用了多版本并发控制（MVCC）技术来减少幻读的发生。MVCC通过为每个事务提供一个一致的数据快照来实现这一点，从而确保在同一个事务中多次执行相同的查询时，返回的结果集是一致的。

我们再做一件事，在左边的事务中，我们插入一条和右侧一样的数据，但是无法插入(下面的第5步)，说明已经增加了

我们再再做一件事情，看一下MySQL在可重复读的隔离级别下，出现虚幻读的问题

另一个案例(选看)#

准备条件：有一张表，表里只有一条数据。

1
create table t(
2
  value int
3
);
4
insert into t values (1);

读未提交：V1、V2、V3均为2。
读已提交: V1为1，V2为2，V3为2
可重复读： V1,V2为1， V3为2
串行化: 事务2修改的过程中。会一直等待，直到事务1提交

思考#

事务的场景：银行转账、购物、库存、预定航班等

涉及到需要确保数据完整性和一致性的场合都需要事务

最后#

1
后端工程
2
https://gitee.com/snow-lee/java-gui
3

4
前端工程
5
https://gitee.com/snow-lee/vue-gui
6

7
尝试把这两个项目起起来了。 然后如果能看懂后端代码，能改更好。
8
    前端这块，能改更好。
9

10
    conntroller   ===> 服务器内部路径
11
    service
12
    mapper(dao)

工作过程需要的数据库知识，我们已经具备了。

但是面试的时候，会被问的问题有很多很多。

关于数据库这块，建议多学。

leetcode和学学数据库的问题。

锦上添花

介绍#

数据库的访问过程#

JDBC是什么#

JDBC怎么用#

第一个JDBC程序#

使用JDBC进行增删改查#

增#

删#

改#

查#

API#

DriverManager#

Connection#

Statement#

ResultSet#

JDBC的优化#

数据库注入问题（关注）#

批处理（了解）#

for循环逐条插入#

statement批处理#

PreparedStatement批处理#

事务 Transaction Tx#

介绍#

使用事务#

特性#

隔离级别#

演示#

脏读问题#

不可重复读#

(虚)幻读#

另一个案例(选看)#

思考#

最后#

文章分享

文章目录

Java Web 开发：JDBC

介绍#

数据库的访问过程#

JDBC是什么#

JDBC怎么用#

第一个JDBC程序#

使用JDBC进行增删改查#

增#

删#

改#

查#

API#

DriverManager#

Connection#

Statement#

ResultSet#

JDBC的优化#

数据库注入问题（关注）#

批处理（了解）#

for循环逐条插入#

statement批处理#

PreparedStatement批处理#

事务 Transaction Tx#

介绍#

使用事务#

特性#

隔离级别#

演示#

脏读问题#

不可重复读#

(虚)幻读#

另一个案例(选看)#

思考#

最后#

文章分享

文章目录