Java设计模式--JDBC案例以及Statement与PreparedStatement的区别

最新推荐文章于 2023-08-01 20:30:24 发布
最新推荐文章于 2023-08-01 20:30:24 发布
阅读量243 收藏
点赞数 1
分类专栏: Java基础 文章标签: Java基础 JDBC
夏欢的小伙伴点个赞吧~
本文链接:https://blog.csdn.net/ChaoticNg/article/details/100837146
版权

目录

JDBC入门程序步骤:

完整的JDBC工具类:

statement的安全问题:

使用PreparedStatement:

总结:

JDBC是SUN公司提供的一种连接数据库的规范,java主程序 <--> JDBC <--> mysql

 

主要步骤为:注册驱动、建立连接、创建statement、执行sql、关闭流

 

JDBC入门程序步骤:

//1. 注册驱动

//     DriverManager.registerDriver(new com.mysql.jdbc.Driver());

//实际上并不会用上面注册驱动的"registerDriver"代码,因为driver源代码里已经有了注册的静态代码块(类加载的时候就加载),正确的应该是:

       Class.forName("com.mysql.jdbc.Driver");    

//2. 建立连接


       Connection conn = DriverManager.getConnection("jdbc:mysql://localhost/student", "root", "root");

//3. 创建statement , 跟数据库打交道,一定需要这个对象

       Statement st = conn.createStatement();

//4. 执行sql ,得到结果集ResultSet

           String sql = "select * from t_stu";
           rs = st.executeQuery(sql);

//5. 遍历结果集,查询每一条记录

           while(rs.next()){
               int id = rs.getInt("id");
               String name = rs.getString("name");
               int age = rs.getInt("age");
               System.out.println("id="+id + "===name="+name+"==age="+age);
           }

//6.释放资源

      rs.close();st.close();  conn.close();

     //这是简写版,这里需要判断if!=null才能close;

 

 

完整的JDBC工具类:

JDBCUtil+properties+MainTest

JDBCUtil.java

public class JDBCUtil {
   
   static String driverClass = null;
   static String url = null;
   static String name = null;
   static String password= null;
   
   static{
      try {
         //1. 创建一个属性配置对象
         Properties properties = new Properties();
         InputStream is = new FileInputStream("jdbc.properties");
         
         //读取有两种方法:一个是上面的FileInputStream,另一个是下面这句:使用类加载器,读取src底下的properties资源文件:
         //InputStream is = JDBCUtil.class.getClassLoader().getResourceAsStream("jdbc.properties");
         //2. 导入输入流。
         properties.load(is);
         
         //读取属性
         driverClass = properties.getProperty("driverClass");
         url = properties.getProperty("url");
         name = properties.getProperty("name");
         password = properties.getProperty("password");
         
      } catch (Exception e) {
         e.printStackTrace();
      }
   }
   
   /**
    * 获取连接对象
    */
   public static Connection getConn(){
      Connection conn = null;
      try {
         //1. 注册驱动
         Class.forName(driverClass);

         //2. 建立连接 参数一: 协议 + 访问的数据库 , 参数二: 用户名 , 参数三: 密码。
         conn = DriverManager.getConnection(url, name, password);
      } catch (Exception e) {
         e.printStackTrace();
      }
      return conn;
   }
   
   /**
    * 释放资源
    */
   public static void release(Connection conn , Statement st , ResultSet rs){
      closeRs(rs);
      closeSt(st);
      closeConn(conn);
   }

   
   private static void closeRs(ResultSet rs){
      try {
         if(rs != null){
            rs.close();
         }
      } catch (SQLException e) {
         e.printStackTrace();
      }finally{
         rs = null;
      }
   }
   
   private static void closeSt(Statement st){
      try {
         if(st != null){
            st.close();
         }
      } catch (SQLException e) {
         e.printStackTrace();
      }finally{
         st = null;
      }
   }
   
   private static void closeConn(Connection conn){
      try {
         if(conn != null){
            conn.close();
         }
      } catch (SQLException e) {
         e.printStackTrace();
      }finally{
         conn = null;
      }
   }
}

 

jdbc.properties:

driverClass=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost/student
name=root
password=root

 

MainTest:

public class MainTest {

   public static void main(String[] args) {
      Connection conn  = null;
      Statement st = null;
      ResultSet rs = null;
      try {
         //1. 注册驱动 
         conn = JDBCUtil.getConn();
         
         //2. 获得statement,跟数据库打交道,一定需要这个对象
         st = conn.createStatement();
         

//-----------------------------------------------------------------------------------   
         //3. 执行查询,得到结果集
         String sql = "select * from t_stu";
         rs = st.executeQuery(sql);
         //4. 遍历结果集,查询每一条记录
         while(rs.next()){
            int id = rs.getInt("id");
            String name = rs.getString("name");
            int age = rs.getInt("age");
            
            System.out.println("id="+id + "===name="+name+"==age="+age);

//--------------------------------------------------------------------------------------

         //3. 执行添加,executeUpdate可以用于添加,删除,更新
         String sql = "delete from t_stu where name='aobama'";
         //影响的行数, ,如果大于0 表明操作成功。 否则失败
         int result = st.executeUpdate(sql);
            
         if(result >0 ){
             System.out.println("添加成功");
         }else{
             System.out.println("添加失败");
         }
//--------------------------------------------------------------------------------------
         //3. 执行删除
         String sql = "delete from t_stu where name='aobama'";
         //影响的行数, ,如果大于0 表明操作成功。 否则失败
         int result = st.executeUpdate(sql);
            
         if(result >0 ){
             System.out.println("删除成功");
         }else{
             System.out.println("删除失败");
         }
//--------------------------------------------------------------------------------------
         //3. 执行更新
         String sql = "update t_stu set age = 26 where name ='qyq'";
         //影响的行数,如果大于0 表明操作成功。 否则失败
         int result = st.executeUpdate(sql);
            
         if(result >0 ){
             System.out.println("更新成功");
         }else{
             System.out.println("更新失败");
         }

             
         }
         } catch (Exception e) {
             e.printStackTrace();
         }finally{
             JDBCUtil.release(conn, st, rs);
         }
   }
}

 

statement的安全问题:

 

这里我们使用MainTest+Dao+DaoImpl+JdbcUtil的方法;

JDBCUtil.java同上;

 

public class UserDaoImpl implements UserDao{

    public void login(String username, String password) {
      
      Connection conn = null;
      Statement st = null;
      ResultSet rs = null;
      try {
         //1. 获取连接对象
         conn = JDBCUtil.getConn();
         //2. 创建statement对象
         st = conn.createStatement();

         //statement的安全问题:
         String sql = "select * from t_user where username='"+ username  +"' and password='"+ or +"'";
         rs = st.executeQuery(sql);
         
         if(rs.next()){
            System.out.println("登录成功");
         }else{
            System.out.println("登录失败");
         }
         
      } catch (Exception e) {
         e.printStackTrace();
      }finally {
         JDBCUtil.release(conn, st, rs);
      }
   }
}

 

public class TestUserDaoImpl {
   
   @Test
   public void testSelect(){

        //Statement执行 ,其实是拼接sql语句的。  先拼接sql语句,然后在一起执行。 
        //JDBCUtil的查询语句:String sql = "select * from t_user where username='"+ username  +"' and password='"+ password +"'";

        UserDao dao = new UserDaoImpl();
        dao.login("admin", "100234khsdf88' or '1=1");
    
        //使用or '1=1"注入后,实际查询语句就成了,1=1永远成立,有安全漏洞:

        //SELECT * FROM t_user WHERE username='admin' AND PASSWORD='100234khsdf88' or '1=1' 
   }
}

 

使用PreparedStatement:

相比较statement, PreparedStatement会预先处理给定的sql语句,对其执行语法检查。 在sql语句里面使用 ? 占位符来替代后续要传递进来的变量。 后面进来的变量值,将会被看成是字符串,不会产生任何的关键字。
...
//select
//2. 创建statement对象 
String sql = "select * from t_user where username=? and password=?";

//预先对sql语句执行语法的校验, ? 对应的内容,后面不管传递什么进来,都把它看成是字符串。 or select 
PreparedStatement ps = conn.prepareStatement(sql);

//? 对应的索引从 1 开始。 
ps.setString(1, username);
ps.setString(2, password);

rs = ps.executeQuery();
if(rs.next()){
   System.out.println("登录成功");
}else{
   System.out.println("登录失败");
}
...


...
//insert

conn = JDBCUtil.getConn();
String sql = "insert into t_user values(null , ? , ?)";
ps = conn.prepareStatement(sql);
 
 //给占位符赋值 从左到右数过来,1 代表第一个问号, 永远你是1开始。
 ps.setString(1, userName);
 ps.setString(2, password);

int result = ps.executeUpdate();
if(result>0){
   System.out.println("添加成功");
}else{
   System.out.println("添加失败");
}
...



...
//delete 

conn = JDBCUtil.getConn();
String sql = "delete from t_user where id = ?";
 ps = conn.prepareStatement(sql);
 
 //给占位符赋值 从左到右数过来,1 代表第一个问号, 永远你是1开始。
 ps.setInt(1, id);
 
int result = ps.executeUpdate();
if(result>0){
...



...
//update

conn = JDBCUtil.getConn();
String sql = "update t_user set username=? where id =?";
 ps = conn.prepareStatement(sql);
 
 //给占位符赋值 从左到右数过来,1 代表第一个问号, 永远你是1开始。
 ps.setString(1, name);
 ps.setInt(2, id);
 
int result = ps.executeUpdate();
if(result>0){
...

总结:

 statement使采用拼接sql语句然后执行的方式,preparedStatement则是先把带?的sql作为conn.preparedStatement()的入参,然后setInt/setString来赋值,防止sql注入攻击。

ChaoticNg
关注
专栏目录
JAVA JDBC小例子
01-19
用的是mysql数据库,实现的是jdbc简单crud的实现,需要自己建数据库,不懂问我
PreparedStatement的使用
mofeigege的博客
11-03 1万+
PreparedStatement介绍 可以通过调用 Connection 对象的 prepareStatement(String sql) 方法获取 PreparedStatement 对象 PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示(?在SQL中表示占位符),调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数.
11.JDBC实例
weixin_46048220的博客
01-04 1340
JDBC实例1、建表语句:2、建立工程3、JDBC操作的对象(1)、Connection:数据库链接对象(2)、Statement:sql语句执行对象(3)、ResultSet:返回结果集对象(4)、PreparedStatement:预处理sql执行对象,是Statement的子接口预处理的优点:4、DAO开发模式:转注入数据访问层(1)、数据库链接工具类:Dbutils——负责链接数据库和关闭资源(2)、创建和数据库表对应的javabean对象(3)、创建接口,提供访问数据的方法(4)、创建接口的实现类
PreparedStatement的理解和通用的增删改查操作使用
weixin_45943192的博客
06-01 1356
1.PreparedStatement的理解: ① PreparedStatementStatement的子接口 ② An object that represents a precompiled SQL statement. ③ 可以解决Statement的sql注入问题,拼串问题 2.使用PreparedStatement实现通用的增、删、改的方法:version 1.0 ...
JDBC实现java数据库连接(附完整例子+超详细注解)
BookSea的博客
05-06 9353
注重版权,转载请注明原作者和原文链接 作者:码农BookSea 原文链接:https://editor.csdn.net/md?articleId=105959128 本人刚写博客不久,是个新人,望大家能给予一些鼓励。 您的一个赞或者是评论区的一句话都将是对我最大的激励。 简单一句话先来了解下JDBCJDBC(Java Data Base Connectivity,java数据库连接...
demo-dao-jdbc:使用JDBC的DAO实现
02-17
标题"demo-dao-jdbc:使用JDBC的DAO实现"表明这是一个示例项目,展示了如何在Java编程中使用JDBCJava Database Connectivity)来实现数据访问对象(DAO)的设计模式。DAO模式是软件设计中常用的一种模式,它用于...
6-1JavaJDBC.rar_Java编程_Java_
08-11
Java JDBCJava Database Connectivity)是Java语言中用来规范应用程序如何访问数据库的应用程序接口,它提供了标准的API,使得Java开发者可以使用SQL语句与各种类型的数据库进行交互。本压缩包包含的是关于Java ...
demo-dao-jdbc:JDBC中的示例Dao
03-30
1. **JDBC基础**:了解JDBC驱动、连接数据库(`DriverManager.getConnection()`)、创建Statement或PreparedStatement对象、执行SQL语句(`executeQuery()`、`executeUpdate()`)以及处理结果集(`ResultSet`)等...
Java课程设计--javaswing的学生管理系统(GUI) .zip
12-30
在本项目中,开发者可能使用了`DriverManager.getConnection()`来建立连接,`Statement`或`PreparedStatement`对象来执行SQL,以及`ResultSet`对象来处理查询结果。 4. **SQL操作**: 管理系统中的主要数据库操作...
projeto-demo-dao-jdbc
03-27
首先,DAO模式是一种设计模式,用于在应用程序和数据库之间提供松耦合。它定义了一个接口,该接口封装了对数据库的操作,使得业务逻辑层与数据存储层分离,提高了代码的可重用性和可测试性。在`projeto-demo-dao-...
PreparedStatement 简介
热门推荐
u013738122的博客
11-25 1万+
PreparedStatement 使用示例 stringsql = &quot;select * from people p where p.id = ? and p.name = ?&quot;; preparedstatement ps = connection.preparestatement(sql); //setxxx() 方法的第一个参数表示 ? 所在的位置,从1开始计算,第二个参数表示对应的值 ps....
JDBC案例
最新发布
meini32的博客
08-01 453
【代码】JDBC案例
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 7058
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
第25章 JDBC核心技术第3节
孔繁玉的专栏
03-26 393
第3节:实现CRUD操作 3.1 操作和访问数据库 数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式: Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 PrepatedStatement:SQL 语句被预编...
18【PreparedStatement接口详细解析】
緑水長流*z
08-29 1850
PreparedStatementStatement 的子类,也能执行Statement之前的所有操作,其中最主要的功能就是提供了占位符传参处理、预编译等功能;我们实际开发中PreparedStatement会使用的更多;PreparedStatement 占位符参数处理:PreparedStatement的方法说明void setXxx(int 参数1,参数2) Xxx数据类型替换SQL语句中的占位符参数1: 占位符的位置,第几个位置,从1开始参数2: 用来替换占位符的真实的值。......
PreparedStatement
顺其自然~专栏
12-02 776
总之, 对于预先准备语句,我们应该使用参数化的查询。这样允许数据库重用已经存在的访问方案,从而减轻数据库的负担。这样的缓冲区是这个数据库范围的,所以你可以安排你所有的应用程序,使用相似的参数化的 SQL,就会提高这样的缓冲区方案的效率,因为一个应用程序 可以使用另一个应用程序的语句。一个应用服务器的优势也在于此,因为访问数据库的逻辑应该集中在数据访问层上(OR映射,实体bean或者直接JDBC),最后, 预先准备语句的正确使用也让你利用应用程序服务器的预先准备语句的缓冲区的好处。
JDBC基本介绍及示例
Ecarg
11-28 432
文章目录1.JDBC基本概念2.JDBC编程步骤2.1 JDBC编程步骤总述(常用方式)2.2 JDBC编程详述3.JDBC实例3.1 实例一:JDBC基本使用3.2 对实例一的分析和改进3.3 实例二:Statement 和 PreparedStatement区别4.JDBC控制事务 1.JDBC基本概念   JDBCJava DataBase Connectivity),即Java数据库连接...
JDBC编程实例(带注释,详细)
threelifeadv的博客
03-06 1359
JDBC编程过程中,主要经历了如下几个阶段: 1、加载数据库驱动(Driver); 2、创建数据库连接(Connection); 3、创建Statement对象(Statement,PreparedStatement); 4、执行SQL语句(execute,executeUpdate,executeQuery); 5、释放资源。 在之前的文章中,详细的介绍了JDBC编程的每...
Java设计模式:提升编程效率与复用性的关键
- **建造者模式**:将构建过程与业务逻辑分离,简化对象的创建过程,比如JDBC的`Statement`和`PreparedStatement`的区别。 2. 结构模式: - **单例模式**:确保一个类只有一个实例,并提供全局访问点,这对于线程...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值