一.JDBC API

在Java JDBC编程中对数据库的操作均使用JDK自带的API统一处理，通常与特定数据库的驱动类是完全解耦的。所以掌握Java JDBC API （位于 java.sql 包下） 即可掌握Java数据库编程。

二.数据库连接Connection

Connection接口实现类由数据库提供，获取Connection对象通常有两种方式：

一种是通过DriverManager（驱动管理类）的静态方法获取：（不常用）

// 加载JDBC驱动程序
Class.forName("com.mysql.jdbc.Driver");
// 创建数据库连接
Connection connection = DriverManager.getConnection(url);

一种是通过DataSource（数据源）对象获取。实际应用中会使用DataSource对象。（常用）

MysqlDataSource ds = new MysqlDataSource();
ds.setUrl("jdbc:mysql://localhost:3306/test");
ds.setUser("root");
ds.setPassword("root");
Connection connection = ds.getConnection();

Q:以上两种连接方式的区别是：

1. DriverManager类来获取的Connection连接，是无法重复利用的，每次使用完以后释放资源时，通过connection.close()都是关闭物理连接。

2. DataSource提供连接池的支持。连接池在初始化时将创建一定数量的数据库连接，这些连接是可以复用的，每次使用完数据库连接，释放资源调用connection.close()都是将Conncetion连接对象回收，回收将重置connection的属性。（抹除使用痕迹，重新放到池子里，不关闭物理连接）。

享元模式（第二种连接方式就采用了这个）：重复使用资源，在初始化的时候就创建多个（可以手动指定数量），每次使用完再还原——所有使用者共享资源。不用每次创建资源（效率低），以便提高性能。

Q:为什么可以不要class.forname加载驱动程序呢？

因为在new MySQLDataSource的时候，它里面已经帮我们加载了一些驱动了。

三.Statement对象

Statement对象主要是将SQL语句发送到数据库中。JDBC API中主要提供了三种Statement对象。

1. PreparedStatement执行速度更快是因为他进行了预编译
2. PreparedStatement也可以执行不带占位符的sql
3. 一个占位符不能代表多个值

4.关于常见SQL注入攻击：利用sql的语法，把or上一个true，把所有元素都打印了出来，这是很危险的，普通的Statement无法阻止，但是PreparedStatement可以阻止。

​​​​printList(query("计算机系1班 or 1=1"))

我们可以看看他们最后执行的sql语句：

普通Statement：传入的字符串参数与原sql语句结合，引起错误

where cla.name = 计算机1班 or 1=1

PreparedStatement：传入的字符串纯纯当做字符串处理了，’甚至使用了转义字符

where cla.name = 计算机1班 or 1=1

Q：三种操作命令对象的作用（区别）:

1.Statement:简单的sql

2.PreparedStatement:可以执行带占位符的sql，预编译

执行效率更高

防止sql注入（通过单引号转义）

3.CallableStatement:执行存储过程