线程、数据库、算法、JVM、分布式、微服务、框架、Spring相关知识
一线互联网P7面试集锦+各种大厂面试集锦
学习笔记以及面试真题解析
if(S != null){
try{
S.close();
} catch(SQLException e){
e.printStackTrace();
}
}
//关闭连接
if(conn != null){
try{
conn.close();
} catch(SQLException e){
e.printStackTrace();
}
}
JDBC步骤总结:
1. 创建数据库连接Connection
2. 创建操作命令Statement
3. 使用操作命令来执行SQL
4. 处理结果集ResultSet
5. 释放资源**(顺序与创建时相反)**
4. 数据库连接Connection
===================
Connection接口实现类由数据库提供,获取Connection的方式有两种:
1. DriverManager驱动管理类的静态方法获取
Class.forName(“com.mysql.jdbc.Driver”);
Connection connection = DriverManager.getConnection(url);
2. 通过DataSource(数据源)对象获取。实际应用中会使用DataSource对象
DataSource ds = new MysqlDataSource();
((MysqlDataSource) ds).setURL(“jdbc:mysql://localhost:3306/blog”);
((MysqlDataSource) ds).setUser(“root”);
((MysqlDataSource) ds).setPassword(“root”);
Connection connection = ds.getConnection();
区别:
1. DriverManager类来获取的Connection连接,是无法重复利用的,每次使用完以后释放资源
时,通过connection.close()都是关闭物理连接。
2. DataSource提供连接池的支持。连接池在初始化时将创建一定数量的数据库连接,这些连接
是可以复用的,每次使用完数据库连接,释放资源调用connection.close()都是将
Conncetion连接对象回收。
5. Statement对象
===============
Statement对象主要是将SQL语句发送到数据库中。JDBC API中主要提供了三种Statement对象。
Statement:
· 用于执行不带参数的简单SQL语句
PreparedStatement:
· 用于执行简单不带参数的简单SQL语句
· SQL语句会预编译在数据库系统
· 执行速度快于Statament对象
CallableStatement:
· 用于执行数据库存储过程的调用
实际开发中最常用的是PreparedStatement对象,以下是对其的总结:
1. 参数化SQL查询
2. 性能比Statement高
3. SQL预编译
4. 阻止常见SQL攻击
5. 占位符:?下标从1开始
6. 占位符不能使用多值
主要掌握两种执行SQL的方法:
1. executeQuery() 方法执行后返回单个结果集,通常用于select语句
2. executeUpdate() 方法返回值是一个整数,值受影响的行数,通常用于update,insert,delete语句
6. SQL注入及占位符的举例说明
==================
看这样的例子:一张学生表中有id和姓名,我们通过预编译的方法查询某个学生
代码示例:
import com.mysql.jdbc.jdbc2.optional.MysqlDataSource;
import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class Blog {
public static void main(String[] args) throws SQLException {
Connection conn = null; //数据库连接
PreparedStatement ps = null; //创建预编译命令
ResultSet r = null; //结果集
try{
DataSource ds = new MysqlDataSource();
((MysqlDataSource) ds).setURL(“jdbc:mysql://localhost:3306/blog”);
((MysqlDataSource) ds).setUser(“root”);
((MysqlDataSource) ds).setPassword(“xiaobai520…@@@”);
((MysqlDataSource) ds).setUseUnicode(true);
((MysqlDataSource) ds).setCharacterEncoding(“UTF-8”);
((MysqlDataSource) ds).setUseSSL(false);
conn = ds.getConnection();
String queryName = “小张’ or ‘1’='1”;
String sql = “select id,name from student where name = '”+queryName+“'”;
ps = conn.prepareStatement(sql);
r = ps.executeQuery();
while(r.next()){
int id = r.getInt(“id”);
String name = r.getString(“name”);
System.out.printf(“id=%s name=%s\n”,id,name);
}
}finally{ //反顺序释放资源
if(r != null){
r.close();
}
if(ps != null){
ps.close();
}
if(conn != null){
conn.close();
}
}
}
}
1. SQL注入的说明 :
我们本想只查看小张的信息,但是因为or后面为真,所以每条信息都会遍历到
输出结果:
这就是SQL注入,在使用简单的操作命令对象,拼接sql字符串时可能会出现安全问题
2. 占位符的说明 :
为了防止SQL注入,我们使用预编译的操作命令可以使用占位符 ?,这样可以防止SQL注入还可以提高效率
我们对上面部分代码进行改造:
String queryName = “小张’ or ‘1’='1”;
int queryId = 3;
String sql = “select id,name from student where name = ? or id = ?”;
ps = conn.prepareStatement(sql);
ps.setString(1,queryName);
ps.setInt(2,queryId);
**注意:**set后面的类型与后面queryName,queryId相对应,占位符必须从1开始,否则会报错
最后
这份《“java高分面试指南”-25分类227页1000+题50w+字解析》同样可分享给有需要的朋友,感兴趣的伙伴们可挑战一下自我,在不看答案解析的情况,测试测试自己的解题水平,这样也能达到事半功倍的效果!(好东西要大家一起看才香)
0w+字解析》同样可分享给有需要的朋友,感兴趣的伙伴们可挑战一下自我,在不看答案解析的情况,测试测试自己的解题水平,这样也能达到事半功倍的效果!(好东西要大家一起看才香)
[外链图片转存中…(img-IqUA3zmI-1715430818796)]
[外链图片转存中…(img-6FOJ8VRc-1715430818796)]
1206
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
