JDBC中的增删改查操作

JDBC中的增删改查操作

升级版插入操作

上一篇文章里插入的代码，其实我们是把插入操作写“死”了

String sql ="insert into student values(1,'张三')";PreparedStatement statement = connection.prepareStatement(sql);

也就是插入的只能是张三，但很多时候我们是希望用户自己来插入自己想要插入的内容和数据，于是就有了下面一种方法

//可以由用户自己插入Scanner scanner =newScanner(System.in);System.out.println("请输入学号：");int num = scanner.nextInt();System.out.println("请输入姓名：");String name  = scanner.next();String sql ="insert into student values("+ num +", '"+ name +"')";PreparedStatement statement = connection.prepareStatement(sql);

图中框起来的是两个完整的字符串

我们运行一下

再检验一下是否操作成功了

虽然通过拼接字符串的方式，可以完成这里的插入数据功能,但是不太好

主要是因为

1. 这样字符串拼接,代码比较丑陋,也容易拼错,尤其是少个 ’ (单引号) 之类…
2. 这样写,也存在一定的安全性风险，SQL注入攻击

SQL注入攻击 是一种比较经典的攻击方式，

name是用户自己构造的，如果用户故意的构造一-些其他特殊的数据,可能导致出现严重后果!!

如：

name = '); drop tal......

那么究竟如何写才是比较科学的呢？

Scanner scanner =newScanner(System.in);System.out.println("请输入学号：");int num = scanner.nextInt();System.out.println("请输入姓名：");String name  = scanner.next();//科学的写法//使用 ? 作为占位符，后续使用 statement对象针对 ? 进行替换。String sql ="insert into student values(?,?)";PreparedStatement statement = connection.prepareStatement(sql);
    statement.setInt(1,num);
    statement.setString(2,name);System.out.println(statement);//查看刚刚构造的SQL

我们解析一下这个代码

先使用 ? 作为占位符，后续使用 statement对象针对 ? 进行替换。

再使用statement对象针对==?== 替换

这个操作的意思就是把第一个问号 用 num 替换，num从1开始计数，不是从0开始！

类似的，替换第二个问号

我们运行一下程序

再查看下数据库

证明刚刚的操作是成功的

实现数据库的修改操作

修改操作和上面的插入操作非常类似，只是这里构造的 SQL 是 update 语句

代码：

importcom.mysql.jdbc.jdbc2.optional.MysqlDataSource;importjavax.sql.DataSource;importjava.sql.Connection;importjava.sql.PreparedStatement;importjava.sql.SQLException;importjava.util.Scanner;publicclassJDBCUpdate{publicstaticvoidmain(String[] args)throwsSQLException{//实现数据库的修改操作，修改操作和上面的插入操作非常类似，只是这里构造的 SQL 是 update 语句//1.构造数据源DataSource dataSource =newMysqlDataSource();((MysqlDataSource)dataSource).setUrl("jdbc:mysql://127.0.0.1:3306/test1?characterEncoding=utf8&useSSL=false");((MysqlDataSource)dataSource).setUser("root");((MysqlDataSource)dataSource).setPassword("123456");//2.和数据库建立连接Connection connection = dataSource.getConnection();//3.用户输入 要修改的 id 和 修改后的名字Scanner scanner =newScanner(System.in);System.out.println("请输入你要修改的同学的学号：");int id = scanner.nextInt();System.out.println("你要把该同学的姓名修改为：");String name  = scanner.next();//4.构造 SQL 语句String sql ="update student set name = ? where id = ? ";PreparedStatement statement = connection.prepareStatement(sql);
        statement.setString(1,name);
        statement.setInt(2,id);System.out.println(statement);//5. 执行SQLint n = statement.executeUpdate();System.out.println("n= "+n);//6.关闭连接，释放资源
        statement.close();
        connection.close();}}

可以看出，与上面的插入操作步骤几乎一样

删除数据库中的数据操作

代码：

importcom.mysql.jdbc.jdbc2.optional.MysqlDataSource;importjavax.sql.DataSource;importjava.sql.Connection;importjava.sql.PreparedStatement;importjava.sql.SQLException;importjava.util.Scanner;publicclassJDBCDelete{publicstaticvoidmain(String[] args)throwsSQLException{//实现删除操作//1.构造数据源DataSource dataSource =newMysqlDataSource();((MysqlDataSource)dataSource).setUrl("jdbc:mysql://127.0.0.1:3306/test1?characterEncoding=utf8&useSSL=false");((MysqlDataSource)dataSource).setUser("root");((MysqlDataSource)dataSource).setPassword("123456");//2.和数据库建立连接Connection connection = dataSource.getConnection();//3.输入要删除的内容Scanner scanner =newScanner(System.in);System.out.println("请输入要删除的学生的id：");int id = scanner.nextInt();//4.构造SQLString sql ="delete from student where id = ?";PreparedStatement statement = connection.prepareStatement(sql);
        statement.setInt(1,id);//5.执行SQLint n = statement.executeUpdate();System.out.println("n = "+n);//6.关闭连接，释放资源
        statement.close();
        connection.close();}}

删除成功

查找操作

查找操作和前面的操作就不太一样了，多了一个步骤，要遍历结果集合

importcom.mysql.jdbc.jdbc2.optional.MysqlDataSource;importjavax.sql.DataSource;importjava.sql.Connection;importjava.sql.PreparedStatement;importjava.sql.ResultSet;importjava.sql.SQLException;publicclassJDBCSelect{publicstaticvoidmain(String[] args)throwsSQLException{//查找操作//1.构造数据源DataSource dataSource =newMysqlDataSource();((MysqlDataSource)dataSource).setUrl("jdbc:mysql://127.0.0.1:3306/test1?characterEncoding=utf8&useSSL=false");((MysqlDataSource)dataSource).setUser("root");((MysqlDataSource)dataSource).setPassword("123456");//2.和数据库建立连接Connection connection = dataSource.getConnection();//3.（此处不输入条件了，直接查找所有记录）//4.构造sqlString sql ="select * from student";PreparedStatement statement = connection.prepareStatement(sql);//5.执行SQL,此处要使用的是executeQuery()，// 因为executeUpdate()只能返回一个int，不符合查找的特点// 而executeQuery()返回的是一个 ResultSet对象，可以把这个对象视为一个“临时表”ResultSet resultSet = statement.executeQuery();//6.遍历临时表，拿到里面的数据//resultSet可以简单的理解成一个类似于“迭代器”这样的东西//这里的 next 如果没有到达末尾 返回true，要继续循环，否则返回 false结束循环while(resultSet.next()){//这里就可以取这一行的数据了//通过resultSet里面的 getXXX 方法，来获取到这里指定的列//取id,参数是列名int id = resultSet.getInt("id");//取nameString name = resultSet.getString("name");//打印System.out.println(id+"："+ name);}//7.关闭连接，释放资源
        resultSet.close();
        statement.close();
        connection.close();}}