20170205JDBC的学习第二天:PreparedStatement的使用、事务(Transaction)的学习

最新推荐文章于 2023-05-23 15:48:07 发布
最新推荐文章于 2023-05-23 15:48:07 发布
阅读量506 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjl_xupt/article/details/79265724
版权

PreparedStatement的使用

一、PreparedStatement的简介

PreparedStatement是Statement的子接口,属于预处理操作。获取PreparedStatement的方法:
使用Connection对象的PreparedStatement prepareStatement(String sql)

这里简单说下使用Statement对象执行sql语句时和使用PreparedStatement对象执行sql语句。

画张图看下sql语句的执行过程:

这里写图片描述

区别:

1.使用Statement对象执行sql时,每次都要对指定的静态sql语句进行编译再执行,这样效率便会大大降低。

2.使用PreparedStatement对象执行sql时,由于执行的sql可以是动态sql,就可以实现对sql语句的预编译,存入缓冲区,下次执行相同的sql语句时就可以直接从缓存中读出来。

  • 使用PreparedStatement的好处
    1.对于结构相同的SQL,可以提高执行效率,在创建PreparedStatement对象时就指定了SQL语句,该语句将被立即发送给DBMS进行编译,预编译的语句被存储在DBMS的缓存中,下次执行相同的SQL语句时,则可以直接从缓存中取出来。
    2.可以有效预防SQL注入
    在使用参数化查询的情况下,数据库系统(DBMS)不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,即使参数中含有恶意的指令,也不会被数据库所运行。

接下来使用一下PreparedStatement类对象执行sql语句。

使用的数据库表为:
这里写图片描述

写一个连接数据库的工具类:

package DBMSUtil;

import java.io.File;
import java.sql.*;
import java.io.*;
import java.util.Properties;

public class DBUtil {

    static{
        try {
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

    public static Connection getConn(String sql){

        Properties pro = new Properties();
        Connection conn=null;
        InputStream is = null;

        try {

            is = new FileInputStream("f:"+File.separator+"db.properties");
            pro.load(is);
            conn = DriverManager.getConnection(sql,pro);
        } catch (Exception e) {
            e.printStackTrace();
        }  finally{
            try {
                //conn.close();
                is.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
        return conn;

    }

}

借助以上工具类可以完成今天的工作了,写一个利用PreparedStatement对象执行sql的例子:

package prepared;

import java.sql.*;

import DBMSUtil.DBUtil;

public class PreparedDemo {

    public static void main(String[] args) {

        Connection conn = DBUtil.getConn("jdbc:mysql://localhost:3306/mydb");
        PreparedStatement pre=null;

        String sql="update student set stuname=? where stuname=?";

        try {
            pre=conn.prepareStatement(sql);
            pre.setString(1,"亚索");
            pre.setString(2,"究极皮皮怪");
            pre.executeUpdate();
            System.out.println("执行成功。。。");
        } catch (SQLException e) {
            e.printStackTrace();
        } finally{
            try {
                pre.close();
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }

}

从上面的代码例子可以看出,动态sql执行语句即是sql语句中含有占位符?,pre对象先对该动态sql语句进行了预编译,接下来只需添加参数再进行执行即可。动态sql的执行由此也解决了sql注入的一些问题,在利用Statement对象执行sql时,由于sql语句是写死的,极易引发由于字符串拼接的问题而导致的sql注入问题,引发一系列数据安全的问题。

SQL注入的简单了解

SQL注入就是通过在客户端输入内容向数据库中进行查询时,利用字符串的拼接问题故意拼接一些数据库能够识别的关键字进行一个对数据的破坏。

看一下:

这里写图片描述

利用Statement对该表进行一下查询:

package prepared;

import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;

import DBMSUtil.DBUtil;

public class SQLInject {

    public static void main(String[] args) {

        Connection conn=DBUtil.getConn("jdbc:mysql://localhost:3306/mydb");
        Statement sta=null;
        ResultSet rs=null;
        try {
            String username="Yasuo";
            String password="sss' or '1=1";

            String sql="select * from user where username='"+username+"' and password='"+password+"'";

            sta=conn.createStatement();
            rs=sta.executeQuery(sql);
            if(rs.next()){
                System.out.println("查询成功");
            }else{
                System.out.println("查询失败。。。");
            }
        } catch (Exception e) {
            e.printStackTrace();
        }


    }

}

从代码中可以看到,传递的password在数据库中并不存在,但在利用字符串拼接的漏洞之下,照样访问到了数据库中的信息,这是很不安全的,因此,使用PreparedStatement能够防止该问题的产生。

二、事务

1概念:
数据库事务(Database Transaction),是指作为单个逻辑工作单元执行的一系列操作,要么全部成功,要么全部失败。

2.事务的四个特性(ACID)

  • 原子性(Atomicity)
    原子性是指事务是一个不可分割的工作单位,事务中的操作要么都发生,要么都不发生。
  • 一致性(Consistency)
    事务必须使数据库从一个一个一致性状态变换到另外一个一致性状态。
  • 隔离性(Isolation)
    事务的隔离性是指一个事务的执行不能被其他事务干扰,即一个事务内部的操作及使用的数据对并发的其他事务是隔离的,并发执行的各个事务之间不能互相干扰。
  • 持久性(Durability)
    持久性是指一个事务一旦被提交,他对数据库中数据改变就是永久性的,接下来的其他操作和数据库不应该对其有任何影响。

3.事务的隔离级别

前提概念:

1.脏读(dirty read):一个事务读取到了另一个事务未提交的数据(脏数据)的现象。
2.不可重复读:一个事务两次度渠道的数据不一致的现象。
3.幻读:一个事务在读取数据时,另一个事务添加了数据记录,则第一个事务读取到了新添加的数据(与第一次读取数据比较。)

事务的隔离级别
  • 读未提交级别(read uncommitted)
    读取到了另一个事务还未提交的数据,肯能会发生脏读、不可重复读和幻读。
  • 读提交级别(read committed)
    只能读取到其他事务已提交的数据,可能会发生不可重复读、幻读。
  • 可重复读级别(repeatable read,MySQL默认的隔离级别)
    在一个事务中可以重复读取相同的数据。在InnoDB数据库存储引擎(此存储引擎支持事务)中,已经解决了幻读问题。
  • 串行化级别(serializable)
    最安全,但并发效率低

下图为不同的隔离级别解决的读的问题的限度:
这里写图片描述

在数据库中事务的操作过程:

1.查看当前会话的隔离级别:select @@tx_isolation;
2.设置当前会话的隔离级别(4种隔离级别):set session transaction isolation level [read uncommitted]/[read committed]/[repeatable read]/[serializable]
3.开启一个事务:start transaction;
4.开启一个事务后,可以在该事务下执行多条sql语句,这些SQL语句便属于同一个事务,若想提交事务:commit;如果执行完这些sql语句之后想放弃这些sql语句的执行,便使用回滚:rollback;这就是的rollback之前的sql操作全部作废,如果在一个事务中执行了多条sql且执行回滚时只想时rollback之前的某些sql作废,可以在不想作废的sql之后写一个事务保存点:savepoint 事务保存点名称,这样的话只要使用:rollback 事务保存点名称,这样就可以使的事务回滚到事务保存点那里.

下面看一个java对事务操作的支持Demo:

一个转账操作便是一个事务,转账操作的具体流程是一方账户余额的减少和另一方账户余额的增加,这两步就必须放在一个事务中避免操作执行到一半因为种种原因而被恶意终止,导致发生财产损失什么的:

package transaction;

import java.io.BufferedReader;
import java.io.IOException;
import java.io.InputStreamReader;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;

import Util.DBUtil;

public class AccountDemo {

    public static boolean transferMoney(int fromId,int toId,double money){

        boolean flag=false;
        Connection conn =DBUtil.getConn("jdbc:mysql://localhost:3306/mydb");
        PreparedStatement pre=null;

        String sql1 = "update account set balance=balance-? where uid=?";
        String sql2 = "update account set balance=balance+? where uid=?";

        try {

            conn.setAutoCommit(false);  //取消自动提交事务

            //第一条sql语句的执行
            pre=conn.prepareStatement(sql1);
            pre.setDouble(1,money);
            pre.setInt(2,fromId);
            pre.executeUpdate();

            pre.close();

            //第二条sql语句的执行
            pre=conn.prepareStatement(sql2);
            pre.setDouble(1,money);
            pre.setInt(2,toId);
            pre.executeUpdate();

            conn.commit(); //执行成功后提交事务
            flag=true; //执行成功后将flag设为true
        } catch (SQLException e) {
            try {
                conn.rollback();
            } catch (SQLException e1) {
                e1.printStackTrace();
            }
            //pre.close();
        } finally{
            try {
                pre.close();
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
        return flag;
    }

    public static void main(String[] args) {

        boolean isSuccess=transferMoney(1,2,200);
        BufferedReader br = new BufferedReader(new InputStreamReader(System.in));
        System.out.print("请输入:");
        String str;
        try {
            str = br.readLine();
            System.out.println(str);
        } catch (IOException e) {
            e.printStackTrace();
        }

        if(isSuccess){
            System.out.println("很遗憾,交易成功!!");
        }else{
            System.out.println("恭喜,交易失败,钱还是你自己的哈哈哈哈哈。。。");
        }

    }
}

这便是事务操作是典型的一个例子,但对于事务来说,由现实情况繁杂而又多变,怎样将一系列操作归于一个事务中也是一个很重要的问题,同时最重要的是事务的隔离级别,只有弄清楚事务之间的关系,定义好事务的隔离级别,才能保证事务执行的安全性。因此,在这方面就是要弄懂事务的隔离级别,这是非常关键的。

以上。

三笠·阿卡曼
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PreparedStatement事务处理
weixin_45748559的博客
07-30 813
在基本访问数据库的步骤中提到了用Statement去执行SQL语句。这里介绍Statement的子类PreparedStatement PreparedStatement(预处理执行语句)相比其父类Statement主要有以下几个优点: ●可以防止SQL注入 ●在特定的驱动数据库下相对效率要高 ●不需要频繁编译。因为已经预加载了 它有三种执行方式: ●pstm.executeUpdate()执行更新语句, 例如insert, update, delete语句, 返回受影响的行数 ●pstm.executeQ
JDBC】PreparedStatement 、 MetaData 、 事务处理
11-21 2320
preparedstatement 优点:   1.代码的可读性和可维护性  2.提高性能 使用PreparedStatement 1.通过链接获得preparedStatement对象,用" ?"构造SQL 语句。 String sql = " insert into new_users values(?,?,?)"; PreparedStatement cmd =
浅析Java中的JDBC(二)PreparedStatement + 事务
Forlogenの解忧杂货铺
05-11 1490
1. JDBC 工具类 为了方便后续有关JDBC相关的操作,我们最好将冗余的操作归纳为一个方法,从而创建有关JDBC的工具类。JDBC工具类主要包含两步操作: 编写配置文件:配置文件中设置driver、url、username和password 编写实现类:主要操作包含获取连接、关闭连接和SQL语句的执行 1.1 配置文件 driver = com.mysql.cj.jdbc.Driver url = jdbc:mysql://localhost:3306/db_name?useUnicode=true
JDBC下篇】PreparedStatement类 && JDBC事务
llg___的博客
12-13 527
之前有的网站,当输入上面这种非法密码的时候,会直接锁定这个用户账户。但这样带来的问题是:如果我知道某人的账户名,再输入非法密码,岂不是可以锁别人的账户。被分成了两块,一块放在获取(预编译的)数据库操作对象前,一部分放在了执行SQL前,即setString传值。但实际的业务中,通常都是N条DML语句共同联合才能完成一个业务,因此,必须保证这些DML语句在同一个事务中同时成功或者同时失败。因此,Statement极少用,只有当业务方面要求支持SQL注入,或者要进行SQL拼接的时候,才用Statement
JDBC之PreparedStateMent类、工具类、Dao层、事务
weixin_54194900的博客
09-10 612
PreparedStatemen是预编译声明的意思。预编译功能:客户端发送sql语句给数据库服务器的时候,服务器有三步,编译sql-----语法分析------执行语句。预编译的意思就是当前面执行过相似的sql语句,会把前面两步保存起来,后面执行类似的语句 可以跳过前面两步。该子接口可以让数据库开启预编译功能(前提是数据库有这个功能)。同时,PreparedStatementStatement的子接口,我们在以后的学习中我们可以使用PrearedStatement来代替Statement
最新Java面试宝典pdf版
08-31
1. 判断第二个日期比第一个日期大 82 2. 用table显示n条记录,每3行换一次颜色,即1,2,3用红色字体,4,5,6用绿色字体,7,8,9用红颜色字体。 83 3、HTML 的 form 提交之前如何验证数值文本框的内容全部为数字? ...
Java面试宝典-经典
03-28
1. 判断第二个日期比第一个日期大 82 2. 用table显示n条记录,每3行换一次颜色,即1,2,3用红色字体,4,5,6用绿色字体,7,8,9用红颜色字体。 83 3、HTML 的 form 提交之前如何验证数值文本框的内容全部为数字? ...
Java面试宝典2012版
12-03
1. 判断第二个日期比第一个日期大 82 2. 用table显示n条记录,每3行换一次颜色,即1,2,3用红色字体,4,5,6用绿色字体,7,8,9用红颜色字体。 83 3、HTML 的 form 提交之前如何验证数值文本框的内容全部为数字...
java面试宝典2012
12-16
1. 判断第二个日期比第一个日期大 89 2. 用table显示n条记录,每3行换一次颜色,即1,2,3用红色字体,4,5,6用绿色字体,7,8,9用红颜色字体。 90 3、HTML 的 form 提交之前如何验证数值文本框的内容全部为数字? ...
PreparedStatement,JDBC管理事务,连接池
m0_58723498的博客
03-15 890
1.预编译对象PreparedStatement 1.java.sql.PreparedStatement:预编译的SQL语句的对象 (1)通过连接获取获取预编译对象的时候,将参数化的sql语句发送到数据库并保存到编译对象中:PreparedStatement preparedStatement(String sql) throws SQLexceotion; (2)参数化的sql:insert into 表名(字段列表) values(?,?...) (3)给占位符赋值:void setXXX
jdbc PreparedStatement 事务与批处理
最新发布
lx5210521的博客
05-23 154
使用批处理的前提是需要在连接数据库的url中配置rewriteBatchedStatements=true。批处理的底层是创建了一个ArrayList数组,初次创建长度为10,满后按照1.5倍扩容。
day27_SQL语言(十二)JDBC事务及PreparedStatement
qq_36972345的博客
08-11 273
一、JDBC事务 (一)概述 mysql默认是自动提交事务的,如果想同时执行多条SQL语句,而且要保证多条SQL同时成功,那么就需要手动的来提交事务Jdbc默认也是自动提交事务的,可以设置为手动提交。 为了让多个 SQL 语句作为一个事务执行: 调用 Connection 对象的 setAutoCommit(false); 以取消自动提交事务。。 在所有的 SQL 语句都成功执行后,调用 commit(); 方法提交事务 在出现异常时,调用 rollback(); 方法回滚事务。 (二)
如何用PreparedStatement来执行sql语句【通过事务
FANGJIANQIN的博客
07-17 585
关于如何用PreparedStatement来执行sql语句【通过事务】?其实非常简单 1、准备好一个Connection 2、准备好一个你需要保存的对象【举例:Customer客户对象】 下面就可以开始正式工作: [code="java"] public void addCustomerByCommit(Connection conn , Customer customer) {...
PreparedStatement批量处理和事务
weixin_33672400的博客
06-14 335
[java] view plain copy   PreparedStatement批量处理和事务代码如下:          /*     * PreparedStatement:     1.addBatch() 将一组参数添加到 PreparedStatement对象内部     2.executeBatch() 将一批参数提交给数据库来执行,如果全部命令执行成...
JDBC高级操作-数据库事务、PreparedStatement、ResultSetMetaData。
weixin_55491446的博客
06-18 230
JDBC高级操作-数据库事务、PreparedStatement、ResultSetMetaData。
JDBC复习:Statement-PrepareStatement-事务
i_see_the_world的博客
10-10 676
JDBC(重点) 用Java操作数据库 JDBC——Java DateBase Connection SUN公司为了简化开发人员的(对数据库的统一)操作,提供了一个(Java操作数据库的)规范,俗称JDBC 对于开发者来说,只需要掌握JDBC接口的操作即可! package JDBCtext; import java.sql.*; //第一个JDBC程序 public class JdbcFirstDemo { public static void main(String[] args) thro
JDBC PreparedStatement事务提交
qq_45935397的博客
12-24 1282
通过1 'or ' 1 '=' 1让password判断永久为true从而登录到系统 PreparedStatement使用 public interface PreparedSteatment extends Stetement 称为预编译的statement对象 和statement区别 对sql语句不使用拼接的方式,而是用问号代替,占位 在获取preparedStatemment对象时就要求执行 在数据库服务器上只要执行一次就会...
PreparedStatement 以及事务的注意事项
aozongjing6494的博客
09-07 1268
PreparedStatement 以及事务的注意事项 a).PreparedStatement 可以进行批量操作,但是与Statement有一定的区别 1. Statement可以进行不同sql语句的批量操作 即可以同时进行...
传智播客JDBC学习精华:从基础到高级实践
1. **JDBC简介**:JDBC是Java语言与数据库交互的接口,允许Java程序连接、操作数据库。它提供了一种标准的方式来执行SQL语句,获取数据,并处理结果集。 2. **静态方法与静态域**:讲解了在调用静态方法时,如果有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值