第4章PreparedStatement
1、PreparedStatement概述
可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取 PreparedStatement 对象
PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句
- PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值
- ResultSet executeQuery()执行查询,并返回该查询生成的 ResultSet 对象。
- int executeUpdate():执行更新,包括增、删、该
2、Statement的不足
(1)SQL拼接
(2)SQL注入
SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法。对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement 取代 Statement 就可以了。
(3)处理Blob类型的数据
BLOB (binary large object),二进制大对象,BLOB常常是数据库中用来存储二进制文件的字段类型。
插入BLOB类型的数据必须使用PreparedStatement,因为BLOB类型的数据无法使用字符串拼接写的。
MySQL的四种BLOB类型(除了在存储的最大信息量上不同外,他们是等同的)
如果还是报错:xxx too large,那么在mysql的安装目录下,找my.ini文件加上如下的配置参数:
max_allowed_packet=16M
注意:修改了my.ini文件,一定要重新启动服务
实际使用中根据需要存入的数据大小定义不同的BLOB类型。
需要注意的是:如果存储的文件过大,数据库的性能会下降。
CREATE TABLE `user` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(20) COLLATE utf8_unicode_ci DEFAULT NULL, `head_picture` mediumblob, PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci; |
package com.jdbc;
import java.io.FileInputStream; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.util.Properties;
public class TestBlob {
public static void main(String[] args) throws Exception{ //加载jdbc.properties资源配置文件 Properties pro = new Properties(); pro.load(ClassLoader.getSystemResourceAsStream("jdbc.properties"));
//1、加载与注册驱动 Class.forName(pro.getProperty("driver"));
//2、获取数据库连接 Connection conn = DriverManager.getConnection(pro.getProperty("url"), pro);
//3、访问数据库 //(1)准备带参数(?)的SQL //PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 //PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示 String sql ="insert into user(username,head_picture) value(?,?)";
//(2)通过调用 Connection 对象的 preparedStatement(String sql) 方法获取 PreparedStatement 对象 PreparedStatement pst = conn.prepareStatement(sql);
//(3)调用 PreparedStatement 对象的 setXxx(int parameterIndex,XX value) 方法来设置这些参数 pst.setString(1, "lily"); pst.setBlob(2, new FileInputStream("head/girl.jpg"));
//(4)调用PreparedStatement的executeUpdate()执行SQL语句进行插入 //注意此处不能在传sql,否则?就白设置了 int len = pst.executeUpdate();
//(5)处理结果 if (len > 0) { System.out.println("添加成功"); } else { System.out.println("添加失败"); }
//4、释放资源 pst.close(); conn.close(); } } |
本教程由尚硅谷教育大数据研究院出品,如需转载请注明来源。