Java程序如何创建数据库并实现信息存储功能？

在Java应用程序中,将数据持久化存储到数据库是一项核心且常见的需求，无论是构建一个简单的后台管理系统，还是一个复杂的分布式应用，数据库都扮演着不可或缺的角色，Java通过其强大的JDBC（Java Database Connectivity）API，为开发者提供了一套标准、统一的接口来连接和操作各种关系型数据库，本文将详细介绍如何使用Java创建数据库连接，并执行基本的存储和查询操作。

理解JDBC核心组件

在开始编写代码之前,首先需要理解JDBC的几个核心接口和类，它们构成了Java数据库操作的基础。

• Driver（驱动程序）：这是一个接口，由数据库厂商（如MySQL、Oracle）提供实现，它的作用是充当Java应用程序与特定数据库之间的桥梁，没有对应的驱动，Java程序就无法与该数据库“对话”。
• Connection（连接）：代表了与数据库的一次会话，所有的数据库操作都在一个连接的上下文中进行，获取连接是操作数据库的第一步。
• Statement（语句）：用于执行静态的SQL语句，并将结果返回，它简单易用，但存在SQL注入的风险。
• PreparedStatement（预编译语句）：Statement的子接口，是更推荐的选择，它预编译SQL语句，可以接受参数化的输入，不仅性能更好，而且能有效防止SQL注入攻击。
• ResultSet（结果集）：当执行查询操作（SELECT）后，数据库返回的数据会被封装在ResultSet对象中，我们可以通过遍历它来获取查询到的每一行数据。

创建数据库存储信息的详细步骤

下面,我们将以广泛使用的MySQL数据库为例，一步步演示如何通过Java代码创建数据库、表，并存储信息。

步骤1：准备工作

1. 安装数据库：确保你的计算机上已安装并运行了MySQL数据库。

2. 创建数据库（可选）：你可以通过MySQL的命令行工具或图形化界面（如phpMyAdmin, MySQL Workbench）手动创建一个数据库，创建一个名为test_db的数据库。

3. 添加JDBC驱动依赖：在Java项目中，需要引入对应数据库的JDBC驱动，如果你使用Maven构建项目，可以在pom.xml文件中添加以下依赖：

   <dependency>
       <groupId>mysql</groupId>
       <artifactId>mysql-connector-java</artifactId>
       <version>8.0.33</version> <!-- 请使用最新稳定版本 -->
   </dependency>

步骤2：建立数据库连接

连接数据库需要提供数据库的URL、用户名和密码，URL的格式通常为：jdbc:子协议://主机名:端口号/数据库名。

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
public class DatabaseConnector {
    public static Connection getConnection() {
        String url = "jdbc:mysql://localhost:3306/test_db?useSSL=false&serverTimezone=UTC";
        String username = "root"; // 你的数据库用户名
        String password = "your_password"; // 你的数据库密码
        try {
            // 加载驱动（对于现代JDBC驱动，此步骤可省略）
            // Class.forName("com.mysql.cj.jdbc.Driver");
            System.out.println("正在尝试连接数据库...");
            Connection connection = DriverManager.getConnection(url, username, password);
            System.out.println("数据库连接成功！");
            return connection;
        } catch (SQLException e) {
            System.err.println("数据库连接失败！");
            e.printStackTrace();
            return null;
        }
    }
}

步骤3：创建数据表

在存储信息之前,需要先创建一个表来组织数据，我们创建一个users表，包含id、username和email三个字段。

import java.sql.Connection;
import java.sql.Statement;
import java.sql.SQLException;
public class TableCreator {
    public static void createUsersTable(Connection connection) {
        String createTableSQL = "CREATE TABLE IF NOT EXISTS users ("
                              + "id INT AUTO_INCREMENT PRIMARY KEY,"
                              + "username VARCHAR(50) NOT NULL UNIQUE,"
                              + "email VARCHAR(100) NOT NULL UNIQUE"
                              + ")";
        try (Statement statement = connection.createStatement()) {
            statement.execute(createTableSQL);
            System.out.println("表 'users' 创建成功或已存在。");
        } catch (SQLException e) {
            System.err.println("创建表失败！");
            e.printStackTrace();
        }
    }
}

步骤4：使用PreparedStatement插入数据

为了安全高效地插入数据,我们使用PreparedStatement，它可以防止SQL注入，并且在重复执行相似SQL时性能更优。

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class DataInserter {
    public static void insertUser(Connection connection, String username, String email) {
        String insertSQL = "INSERT INTO users (username, email) VALUES (?, ?)";
        try (PreparedStatement preparedStatement = connection.prepareStatement(insertSQL)) {
            // 设置参数，索引从1开始
            preparedStatement.setString(1, username);
            preparedStatement.setString(2, email);
            int affectedRows = preparedStatement.executeUpdate();
            if (affectedRows > 0) {
                System.out.println("用户 '" + username + "' 插入成功！");
            } else {
                System.out.println("用户插入失败。");
            }
        } catch (SQLException e) {
            System.err.println("插入用户时发生错误！");
            e.printStackTrace();
        }
    }
}

步骤5：查询数据并处理结果集

插入数据后,我们需要能够查询出来，查询操作会返回一个ResultSet对象，我们需要遍历它来获取数据。

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class DataSelector {
    public static void selectAllUsers(Connection connection) {
        String selectSQL = "SELECT id, username, email FROM users";
        try (PreparedStatement preparedStatement = connection.prepareStatement(selectSQL);
             ResultSet resultSet = preparedStatement.executeQuery()) {
            System.out.println("n--- 用户列表 ---");
            while (resultSet.next()) {
                int id = resultSet.getInt("id");
                String username = resultSet.getString("username");
                String email = resultSet.getString("email");
                System.out.printf("ID: %d, 用户名: %s, 邮箱: %sn", id, username, email);
            }
            System.out.println("------------------");
        } catch (SQLException e) {
            System.err.println("查询用户时发生错误！");
            e.printStackTrace();
        }
    }
}

步骤6：关闭资源

这是一个至关重要的步骤,数据库连接、Statement和ResultSet都是宝贵的资源，使用完毕后必须关闭，否则会导致资源泄露，最佳实践是使用try-with-resources语句，它能自动关闭在try()括号内声明的资源。

上面的代码示例中已经广泛使用了try-with-resources，try (Connection conn = ...)，这确保了无论代码是否发生异常，资源都会被正确关闭。

整合所有步骤：一个完整的示例

下面是一个完整的main方法，它串联起上述所有步骤，演示了从连接到插入再到查询的完整流程。

import java.sql.Connection;
public class MainApplication {
    public static void main(String[] args) {
        // 1. 建立连接
        Connection connection = DatabaseConnector.getConnection();
        if (connection != null) {
            try {
                // 2. 创建表
                TableCreator.createUsersTable(connection);
                // 3. 插入数据
                System.out.println("n开始插入数据...");
                DataInserter.insertUser(connection, "Alice", "alice@example.com");
                DataInserter.insertUser(connection, "Bob", "bob@example.com");
                DataInserter.insertUser(connection, "Charlie", "charlie@example.com");
                // 4. 查询并显示数据
                DataSelector.selectAllUsers(connection);
            } finally {
                // 5. 关闭连接（try-with-resources已处理Statement和ResultSet）
                try {
                    if (connection != null && !connection.isClosed()) {
                        connection.close();
                        System.out.println("n数据库连接已关闭。");
                    }
                } catch (SQLException e) {
                    e.printStackTrace();
                }
            }
        }
    }
}

进阶与现代实践

虽然原生JDBC功能强大,但在大型项目中，直接使用它可能会导致代码冗余和繁琐，现代Java开发通常会采用更高级的技术来简化数据库操作。

• 连接池：频繁地创建和销毁数据库连接是非常消耗资源的，连接池（如HikariCP、C3P0）技术预先创建一批数据库连接并维护起来，应用程序需要时直接从池中获取，用完归还，极大地提高了性能。
• ORM框架：对象关系映射（ORM）框架（如Hibernate、MyBatis）将Java对象与数据库表进行映射，开发者只需操作Java对象，框架会自动将其转换为SQL语句执行，从而将开发者从繁琐的JDBC代码中解放出来，更专注于业务逻辑。

---

相关问答FAQs

问题1：Statement和PreparedStatement的主要区别是什么？我应该优先使用哪个？

解答： Statement和PreparedStatement都用于执行SQL，但它们在安全性和性能上有显著差异。

特性	Statement	PreparedStatement
SQL注入	不安全，通过字符串拼接SQL，容易被恶意输入攻击。	安全，使用参数化查询，将数据和SQL语句分离，从根本上防止SQL注入。
性能	较低，每次执行都需要数据库编译SQL语句。	更高，SQL语句被预编译一次，后续执行只需传入参数，尤其适合重复执行。
可读性	拼接长SQL字符串时，代码可读性差。	代码更清晰，SQL结构和参数分离，易于维护。
灵活性	只能执行静态SQL。	可以动态设置参数，非常灵活。

在任何情况下，都应，只有在执行一些完全静态、不带任何参数的DDL语句（如CREATE TABLE）时，为了代码简洁，才会考虑使用Statement。

问题2：什么是SQL注入？PreparedStatement是如何防止它的？

解答： SQL注入是一种代码注入技术，攻击者通过在Web应用的输入字段中“注入”恶意的SQL代码，来欺骗服务器执行非预期的数据库操作。

攻击示例：
假设一个登录验证的SQL是这样拼接的：String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";
如果攻击者在用户名输入框中输入 admin' --（注意admin'后面有一个空格和两个连字符），那么拼接后的SQL就变成了：
SELECT * FROM users WHERE username = 'admin' --' AND password = ''
在SQL中，是注释符，这会导致后面的AND password部分被忽略，这条SQL语句只验证了用户名为admin，攻击者无需密码即可登录。

PreparedStatement不会将输入的参数直接拼接到SQL语句中，它先将SQL语句的框架发送给数据库进行预编译，然后再将参数作为纯数据发送过去，数据库在执行时，会将这些参数严格当作数据处理，绝不会将其解释为SQL代码的一部分。

即使用户输入了 admin' --，PreparedStatement也会将其作为一个完整的字符串参数去匹配数据库中的username字段，由于数据库中不存在名为admin' --的用户，登录会失败，通过这种方式，PreparedStatement从根本上杜绝了SQL注入的风险。