《Java 100 天进阶之路》第88篇：JDBC与连接池（2026版）-编程实验室

第88篇：JDBC与连接池（2026版）

📌系列导航：《Java 100 天进阶之路》完整目录 |
⬅️ 上一篇：第87篇：MyBatis源码阅读 |
➡️ 下一篇：第89篇：MySQL面试压轴题

一、核心知识点

JDBC 体系架构：API 层 → 驱动层（厂商实现）→ SPI 层（Driver动态加载）
三种 Statement：Statement（静态SQL）、PreparedStatement（预编译+防注入）、CallableStatement（存储过程）
PreparedStatement防注入原理：SQL 模板预编译 → 参数独立传递 → 只作为数据处理
连接池核心概念：DataSource替代DriverManager；HikariCPvsDruid选型
连接池核心参数：maximum-pool-size、connection-timeout、max-lifetime、idle-timeout
2026架构演进：R2DBC（响应式）+虚拟线程 + 传统JDBC（简单替代方案）
动态治理：配置中心联动（Nacos/Apollo）、弹性伸缩、连接泄漏熔断
可观测性：OpenTelemetry + Micrometer 统一指标采集
安全加固：SQL 防火墙（WallFilter）、字段级加密（jasypt）、数据库代理层
现代化语法：JDK 21Record+JdbcTemplate+try-with-resources

二、通俗讲解（1分钟开心学）

1. JDBC 是什么？

JDBC 是 Java 操作数据库的官方标准 API。它定义了Connection、Statement、ResultSet等接口，由各数据库厂商提供具体实现（如 MySQL Connector/J）。

生活类比：
JDBC 就像手机充电器的统一接口标准（USB-C）。你只需按标准插拔，不用管充电头内部怎么变压——标准由 Java 制定，各数据库厂商提供“充电头”（驱动）。

2. 连接池是什么？

每次操作数据库都创建和关闭连接是非常昂贵的操作（TCP 三次握手 + 认证）。连接池在程序启动时预先创建一批连接，使用时“借”，用完“还”，省去反复创建销毁的开销。

生活类比：
没有连接池：每次用水都要现挖一口井。有连接池：提前建好水库，用水时直接开闸取水。

3. 为什么 PreparedStatement 能防 SQL 注入？

普通Statement是字符串拼接，用户输入' OR '1'='1会被拼进 SQL，变成恒真条件绕过登录。
PreparedStatement先将 SQL 模板发送给数据库预编译，参数值通过占位符独立传递，只作为数据处理，不被解析为 SQL 逻辑，从根本上杜绝注入。

一句话总结：Statement把用户输入当“代码”拼进去，PreparedStatement把用户输入当“数据”传进去。

4. 2026架构新视角：响应式 vs 虚拟线程

传统 JDBC + 连接池：阻塞 I/O，通过大连接池应对并发。最简单、最成熟，适合 90% 的业务系统。
R2DBC（响应式）：非阻塞 I/O，一个连接可多路复用处理多个请求。适合网关、实时数据流、超高并发场景。
虚拟线程 + 传统 JDBC：JDK 21+ 引入虚拟线程，用轻量级线程替代平台线程。使用传统 JDBC 也能获得接近响应式的并发能力，且代码无需改造，是 2026 年主流推荐方案。

一句话选型：先尝试虚拟线程 + 传统 JDBC，不够再上 R2DBC。

5. HikariCP vs Druid vs R2DBC 一句话定位

选型	定位	适用场景
HikariCP	极速、轻量	高并发互联网应用，Spring Boot 默认
Druid	监控型全功能	需要深度 SQL 分析、审计的中大型企业
R2DBC	响应式非阻塞	网关、实时流处理、超高并发 I/O 密集型

三、实操代码案例 + 场景说明

3.1 JDBC 基础操作（try-with-resources）

publicUsergetUserById(intuserId){Stringsql="SELECT id, name, age FROM user WHERE id = ?";try(Connectionconn=DriverManager.getConnection(url,username,password);PreparedStatementpstmt=conn.prepareStatement(sql)){pstmt.setInt(1,userId);try(ResultSetrs=pstmt.executeQuery()){if(rs.next()){returnnewUser(rs.getInt("id"),rs.getString("name"),rs.getInt("age"));}}}catch(SQLExceptione){log.error("查询失败",e);}returnnull;}

关键点：ResultSet也需要在嵌套的 try-with-resources 中关闭；生产环境用DataSource替代DriverManager。

3.2 SQL 注入演示 vs PreparedStatement 防护

❌ 危险写法：

Stringsql="SELECT * FROM users WHERE username = '"+username+"' AND password = '"+password+"'";Statementstmt=conn.createStatement();ResultSetrs=stmt.executeQuery(sql);// 攻击者输入 username = "admin' --"，直接绕过密码校验

✅ 安全写法：

Stringsql="SELECT * FROM users WHERE username = ? AND password = ?";try(PreparedStatementpstmt=conn.prepareStatement(sql)){pstmt.setString(1,username);pstmt.setString(2,password);ResultSetrs=pstmt.executeQuery();// 参数作为纯数据传递}

3.3 批量操作优化

publicint[]batchInsertOrders(List<Order>orders){Stringsql="INSERT INTO orders (user_id, amount, status) VALUES (?, ?, ?)";try(Connectionconn=dataSource.getConnection();PreparedStatementpstmt=conn.prepareStatement(sql)){for(Orderorder:orders){pstmt.setInt(1,order.userId());pstmt.setBigDecimal(2,order.amount());pstmt.setInt(3,order.status());pstmt.addBatch();}returnpstmt.executeBatch();}}

3.4 Spring Boot HikariCP 配置

⚠️重要：生产环境禁止硬编码用户名和密码。以下使用环境变量占位符，密码需通过 Kubernetes Secret 或配置中心注入。

spring:datasource:url:jdbc:mysql://localhost:3306/testdb?useUnicode=true&serverTimezone=Asia/Shanghaiusername:${DB_USERNAME:app_user}# 🔥 使用环境变量，禁止硬编码password:${DB_PASSWORD:changeme_in_production}# 🔥 使用环境变量，禁止硬编码driver-class-name:com.mysql.cj.jdbc.Driverhikari:minimum-idle:10maximum-pool-size:20connection-timeout:5000idle-timeout:60000max-lifetime:300000connection-test-query:SELECT 1leak-detection-threshold:5000# 开发/测试环境开启

通过环境变量注入凭证：

# 方式一：直接注入（本地开发）exportDB_USERNAME=myappexportDB_PASSWORD=MyStrongP@ssw0rdjava-jarmyapp.jar# 方式二：Docker 容器注入dockerrun-eDB_USERNAME=myapp-eDB_PASSWORD=MyStrongP@ssw0rd myapp:latest# 方式三：Kubernetes Secret（生产推荐）# 1. 创建 Secretkubectl create secret generic db-credentials --from-literal=username=myapp --from-literal=password=MyStrongP@ssw0rd# 2. 在 Deployment 中引用，密码自动注入 Pod 环境变量

3.5 Druid 配置与监控

spring:datasource:type:com.alibaba.druid.pool.DruidDataSourcedruid:username:${DB_USERNAME:app_user}password:${DB_PASSWORD:changeme_in_production}initial-size:5max-active:20max-wait:60000stat-view-servlet:enabled:trueurl-pattern:/druid/*login-username:${DRUID_ADMIN_USER:admin}# 🔥 生产用强密码 + 环境变量login-password:${DRUID_ADMIN_PASS:admin}# 🔥 生产用强密码 + 环境变量filter:stat:log-slow-sql:trueslow-sql-millis:2000merge-sql:true# 🔥 必须开启，否则SQL统计失真wall:config:delete-whitelist:false# 禁止无where条件的delete

生产经验：
merge-sql: true能将SELECT * FROM user WHERE id = 1和id = 2合并统计，否则监控数据失真。
强烈建议为 Druid 监控页配置独立的强密码（不低于 16 位，含大小写字母、数字、特殊符号），并通过环境变量注入。

3.6 JDK 21 Record + JdbcTemplate

// 定义不可变数据载体publicrecordUser(Longid,Stringname,Integerage){}// JdbcTemplate 查询@RepositorypublicclassUserDao{privatefinalJdbcTemplatejdbcTemplate;publicList<User>findAll(){Stringsql="SELECT id, name, age FROM user";returnjdbcTemplate.query(sql,(rs,rowNum)->newUser(rs.getLong("id"),rs.getString("name"),rs.getInt("age")));}}

3.7 动态治理：Apollo 动态刷新 HikariCP

生产环境使用配置中心动态调整连接池，避免重启：

@Component@RefreshScopepublicclassDynamicDataSourceConfig{@Value("${db.pool.max-size:20}")privateintmaxPoolSize;@Bean@RefreshScopepublicHikariConfighikariConfig(){HikariConfigconfig=newHikariConfig();config.setMaximumPoolSize(maxPoolSize);// 其他配置...returnconfig;}}

原理：Nacos/Apollo 配置变更时，@RefreshScope触发 Bean 重新创建，新连接立即生效。

3.8 R2DBC 响应式示例

适用场景：网关、实时流处理、超高并发 I/O 密集型：

@RepositorypublicclassReactiveUserDao{privatefinalDatabaseClientclient;publicFlux<User>findAll(){returnclient.sql("SELECT id, name, age FROM user").map((row,meta)->newUser(row.get("id",Long.class),row.get("name",String.class),row.get("age",Integer.class))).all();}}

四、避坑要点

问题	错误/误区	后果	正确做法
SQL 注入	使用`Statement`拼接用户输入	数据泄露、删库	使用`PreparedStatement`参数化查询
连接泄漏	未关闭`Connection`/`Statement`/`ResultSet`	连接耗尽，服务不可用	`try-with-resources`自动关闭
线程安全	多线程共享`Connection`	数据错乱	每个线程从连接池获取独立连接
`max-lifetime`过大	超过 MySQL`wait_timeout`	连接被 MySQL 断开，池中不知	设为 5~30 分钟，小于 MySQL`wait_timeout`
`maximum-pool-size`过大	数据库连接数耗尽	数据库拒绝连接	根据压测调整，一般 10~30
Druid`merge-sql`未开启	同 SQL 不同参数被分别统计	SQL 监控数据失真	`merge-sql: true`
DriverManager vs DataSource	使用`DriverManager.getConnection()`	无法利用连接池	使用`DataSource`+ 连接池
监控盲区	未配置监控指标	生产问题无法定位	配置 Druid 或接入 OpenTelemetry
连接池过度追求“动态调整”	频繁动态修改连接池大小	触发连接重创，性能抖动	配置中心联动时设置合理的变更阈值（如变化超过20%才触发），避免频繁调整

五、面试高频考点

Q1：Statement、PreparedStatement、CallableStatement的区别？

Statement执行静态 SQL，有注入风险；PreparedStatement支持预编译和参数化查询，防注入且可复用执行计划；CallableStatement用于调用存储过程。

Q2：PreparedStatement为什么能防止 SQL 注入？

SQL 模板先发送给数据库预编译，参数值通过占位符独立传递，仅作为数据处理，不被解析为 SQL 逻辑，从根本上杜绝注入。

Q3：HikariCP 和 Druid 如何选型？

HikariCP：极致性能、轻量级，适合高并发场景；Druid：功能全面，内置 Web 监控、SQL 防火墙、慢查询分析，适合需要深度监控的中大型企业。

Q4：连接池的核心参数有哪些？

maximum-pool-size（最大连接数）、connection-timeout（获取连接超时）、max-lifetime（连接最大存活时间，必须小于 MySQLwait_timeout）、idle-timeout（空闲连接回收时间）。

Q5：DriverManager和DataSource的区别？

DriverManager每次创建新连接，无法利用连接池；DataSource是 JDBC 2.0 引入的标准接口，支持连接池、分布式事务等，生产环境推荐使用。

Q6 R2DBC 和 JDBC 连接池的设计理念有何不同？

JDBC 连接池基于“线程安全”和“复用昂贵连接”，一个连接同时只能被一个线程使用；而 R2DBC 连接池基于“非阻塞”和“多路复用”，一个连接可以处理多个并发请求，适合 I/O 密集型场景。

Q7 2026 年推荐用 R2DBC 还是虚拟线程 + 传统 JDBC？

优先推荐虚拟线程 + 传统 JDBC，代码无需改造，JDK 21+ 原生支持，已能满足绝大多数场景。如果业务是网关或超高并发 I/O 密集型，再考虑 R2DBC。

Q8 如何实现数据库连接的平滑下线（无损上线）？

结合 HikariCP 的配置和数据库代理（如 Pgbouncer）。在应用重启时，先将连接池中的连接标记为“不可用”，等待当前事务提交后，再断开连接，避免connection reset异常。也可以通过配置中心动态调小maximum-pool-size，让连接自然回收。

Q9 如何防止应用把数据库连接打满？

三层防护：
① 应用层设置合理的maximum-pool-size；
② 数据库层设置max_connections并配置用户级限制；
③ 中间件层（如 Sentinel）对数据库 RT 进行熔断降级。

六、练习题

代码题：使用PreparedStatement实现用户登录校验，要求防 SQL 注入，并对比Statement字符串拼接的漏洞。
💡 思路：分别用Statement和PreparedStatement实现登录，输入admin' --测试，观察Statement如何被绕过。
配置题：基于 Spring Boot 配置 HikariCP，要求：最大连接数 30、连接超时 3 秒、连接最大存活 10 分钟，并开启泄漏检测。
💡 思路：配置maximum-pool-size: 30、connection-timeout: 3000、max-lifetime: 600000、leak-detection-threshold: 5000。
分析题：某生产系统频繁出现Connection is not available错误，连接池配置maximum-pool-size=10，并发请求 50。如何排查？
💡 思路：① 检查是否有连接泄漏（未正常关闭）；② 增大maximum-pool-size并压测；③ 检查数据库max_connections是否足够；④ 检查慢 SQL 是否占用连接过长；⑤ 开启leak-detection-threshold定位泄漏代码。