本文介绍了MyBatis的批处理操作,包括addBatch、clearBatch和executeBatch等方法,以及PreparedStatement如何防止SQL注入。通过预编译SQL和参数占位符,PreparedStatement能有效避免SQL注入攻击。同时,文章还提到了CallableStatement在调用存储过程中的作用以及在XML映射文件中的statementType配置。最后,作者强调了面试中对项目经验和基础知识的重视。
(1)ResultSet getResultSet()
以 ResultSet 对象的形式获取当前结果
(2)int getUpdateCount()
以更新计数的形式获取当前结果;如果结果为 ResultSet 对象或没有更多结果,则返回 -1
(3)boolean getMoreResults()
移动到此 Statement 对象的下一个结果,如果其为 ResultSet 对象,则返回 true,并隐式关闭利用方法 getResultSet 获取的所有当前 ResultSet 对象
(4)boolean getMoreResults(int current)
将此 Statement 对象移动到下一个结果,根据给定标志指定的指令处理所有当前 ResultSet 对象;如果下一个结果为 ResultSet 对象,则返回 true
(5)default long getLargeUpdateCount()
4、Batch
(1)void addBatch(String sql)
将给定的 SQL 命令添加到此 Statement 对象的当前命令列表中
(2)void clearBatch()
清空此 Statement 对象的当前 SQL 命令列表
(3)int[] executeBatch()
将一批命令提交给数据库来执行,如果全部命令执行成功,则返回更新计数组成的数组
对于batch操作,简单说就是有一个列表,保存了执行命令。
add是添加方法,clear就是清空方法,execute就是执行列表内命令。
如下面示例,将1000个“张三”分十次插入数据库:
for(int i=0;i<1000;i++){
String sql = "insert into user(id,name,age) values (i,'张三"+i+"',18)";
stmt.addBatch(sql);
if(i%100 == 0){
stmt.executeBatch();
stmt.clearBatch();
}
}
三、PreparedStatement常用方法
1、boolean execute()
在此 PreparedStatement 对象中执行 SQL 语句,该语句可以是任何种类的 SQL 语句。
ResultSet executeQuery()
在此 PreparedStatement 对象中执行 SQL 查询,并返回该查询生成的 ResultSet 对象。
2、int executeUpdate()
在此 PreparedStatement 对象中执行 SQL 语句,该语句必须是一个 SQL 数据操作语言(Data Manipulation Language,DML)语句,比如 INSERT、UPDATE 或 DELETE 语句;或者是无返回内容的 SQL 语句,比如 DDL 语句。
3、void addBatch()
将一组参数添加到此 PreparedStatement 对象的批处理命令中。
4、void clearParameters()
立即清除当前参数值。
5、ResultSetMetaData getMetaData()
获取包含有关 ResultSet 对象列信息的 ResultSetMetaData 对象,ResultSet 对象将在执行此 PreparedStatement 对象时返回
6、ParameterMetaData getParameterMetaData()
获取此 PreparedStatement 对象的参数的编号、类型和属性。
四、PreparedStatement代码实例
String sql = "insert into user(id,name,age) values (?,?,?)";
PreparedStatement ps = conn.prepareStatement(sql, Statement.NO_GENERATED_KEYS);
ps.setInt(1,1);
ps.setString(2,"哪吒");
ps.setInt(3,18);
ps.executeUpdate();
五、使用PreparedStatement能够预防SQL注入攻击
假如登录SQL为select * from user where name=‘zs’ and password=‘123’ ,如果在登录框密码处输入 “123 or 1=1”,那么SQL就成为了
select * from user where name='zs and password=‘123’ or 1=1 ,这就是SQL注入。
所谓SQL注入就是将SQL语句片段插入到被执行的语句中,把SQL命令插入到Web表单提交或者输入域名或者页面请求的查询字符串,最终达到欺骗服务器,达到执行恶意SQL命令的目的。
PreparedStatement通过预编译,原有的SQL语句中的参数转换为占位符?的形式,相当于变成了填空题,不管你输入的内容是什么,都是作为参数,而不可能作为SQL的一部分
(要注意 #与$的区别)
你把密码输入为’123 or 1=1’然后提交,他会转换为 select * from user where name='zs and password=‘123 or 1=1’,输入内容都转换为纯粹参数。
六、CallableStatement
CallableStatement继承自prepareStatement,实现了存储过程函数调用的方法以及对于输出的处理。
CallableStatement调用存储过程和函数,一个很重要的部分就是输出的处理。
在JDBC中需要使用registerOutParameter将参数注册为输出,registerOutParameter的责任就是申明XXX参数是一个输出。
对于这个参数可以使用int parameterIndex 下标索引(1开始)也可以使用String parameterName来指明,对于参数对应的类型也需要指明。
七、xml中的statementType
在mapper文件中可以使用statementType标记使用什么的对象操作SQL语句。
最后
最后,强调几点:
- 1. 一定要谨慎对待写在简历上的东西,一定要对简历上的东西非常熟悉。因为一般情况下,面试官都是会根据你的简历来问的; 能有一个上得了台面的项目也非常重要,这很可能是面试官会大量发问的地方,所以在面试之前好好回顾一下自己所做的项目;
- 2. 和面试官聊基础知识比如设计模式的使用、多线程的使用等等,可以结合具体的项目场景或者是自己在平时是如何使用的;
- 3. 注意自己开源的Github项目,面试官可能会挖你的Github项目提问;
我个人觉得面试也像是一场全新的征程,失败和胜利都是平常之事。所以,劝各位不要因为面试失败而灰心、丧失斗志。也不要因为面试通过而沾沾自喜,等待你的将是更美好的未来,继续加油!
以上面试专题的答小编案整理成面试文档了,文档里有答案详解,以及其他一些大厂面试题目。
CodeChina开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频】
面试答案
好的未来,继续加油!
以上面试专题的答小编案整理成面试文档了,文档里有答案详解,以及其他一些大厂面试题目。
CodeChina开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频】
面试答案
[外链图片转存中…(img-FLOAH3Mp-1630923631197)]
[外链图片转存中…(img-iBLbmiBw-1630923631199)]
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
