JDBC

第4章PreparedStatement

1、PreparedStatement概述

可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取 PreparedStatement 对象

PreparedStatement 接口是 Statement 的子接口，它表示一条预编译过的 SQL 语句

1. PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示，调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数，第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始)，第二个是设置的 SQL 语句中的参数的值
2. ResultSet executeQuery()执行查询，并返回该查询生成的 ResultSet 对象。
3. int executeUpdate()：执行更新，包括增、删、该

2、Statement的不足

（1）SQL拼接

（2）SQL注入

SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查，而在用户输入数据中注入非法的 SQL 语句段或命令，从而利用系统的 SQL 引擎完成恶意行为的做法。对于 Java 而言，要防范 SQL 注入，只要用 PreparedStatement 取代 Statement 就可以了。

（3）处理Blob类型的数据

BLOB (binary large object)，二进制大对象，BLOB常常是数据库中用来存储二进制文件的字段类型。

插入BLOB类型的数据必须使用PreparedStatement，因为BLOB类型的数据无法使用字符串拼接写的。

MySQL的四种BLOB类型(除了在存储的最大信息量上不同外，他们是等同的)

 如果还是报错：xxx too large，那么在mysql的安装目录下，找my.ini文件加上如下的配置参数：

  max_allowed_packet=16M

 

注意：修改了my.ini文件，一定要重新启动服务

 

实际使用中根据需要存入的数据大小定义不同的BLOB类型。
需要注意的是：如果存储的文件过大，数据库的性能会下降。

 

CREATE TABLE `user` (   `id` int(11) NOT NULL AUTO_INCREMENT,   `username` varchar(20) COLLATE utf8_unicode_ci DEFAULT NULL,   `head_picture` mediumblob,   PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci;

package com.jdbc;   import java.io.FileInputStream; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.util.Properties;   public class TestBlob {            public static void main(String[] args) throws Exception{                    //加载jdbc.properties资源配置文件                    Properties pro = new Properties();                    pro.load(ClassLoader.getSystemResourceAsStream("jdbc.properties"));                                       //1、加载与注册驱动                    Class.forName(pro.getProperty("driver"));                                       //2、获取数据库连接                    Connection conn = DriverManager.getConnection(pro.getProperty("url"), pro);                                       //3、访问数据库                    //(1)准备带参数(?)的SQL                    //PreparedStatement 接口是 Statement 的子接口，它表示一条预编译过的 SQL 语句                    //PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示                    String sql ="insert into user(username,head_picture) value(?,?)";                                       //(2)通过调用 Connection 对象的 preparedStatement(String sql) 方法获取 PreparedStatement 对象                    PreparedStatement pst = conn.prepareStatement(sql);                                       //(3)调用 PreparedStatement 对象的 setXxx(int parameterIndex,XX value) 方法来设置这些参数                    pst.setString(1, "lily");                   pst.setBlob(2, new FileInputStream("head/girl.jpg"));                                       //(4)调用PreparedStatement的executeUpdate()执行SQL语句进行插入                    //注意此处不能在传sql，否则?就白设置了                    int len = pst.executeUpdate();                                       //(5)处理结果                    if (len > 0) {                             System.out.println("添加成功");                    } else {                             System.out.println("添加失败");                    }                                       //4、释放资源                    pst.close();                    conn.close();          } }

 

 

本教程由尚硅谷教育大数据研究院出品，如需转载请注明来源。