使用PreparedStatement实现CRUD操作

操作和访问数据库

数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。

在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式:

  • Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。
  • PrepatedStatement:SQL 语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句。
  • CallableStatement:用于执行 SQL 存储过程

使用Statement操作数据表的弊端

通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。

Statement接口中定义了下列方法用于执行SQL语句:

int excuteUpdate(String sql):执行更新操作INSERT、UPDATE、DELETE 
ResultSet executeQuery(String sql):执行查询操作SELECT

但是使用Statement操作数据表存在弊端:
1.存在拼串操作,繁琐
2.存在SQL注入问题

SQL注入问题:

SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user='a' OR 1 = ' AND password = ' OR '1' ='1') ,从而利用系统的 SQL 引擎完成恶意行为的做法。

对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement(从Statement扩展而来) 取代 Statement 就可以了。

PreparedStatement的使用

PreparedStatement介绍

  1. PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句
  2. PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1开始),第二个是设置的 SQL 语句中的参数的值
  3. 可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取 PreparedStatement 对象

PreparedStatement vs Statement

Java与SQL对应数据类型转换表

Java类型SQL类型
booleanBIT
byteTINYINT
shortSMALLINT
intINTEGER
longBIGINT
StringCHAR,VARCHAR,LONGVARCHAR
byte arrayBINARY,VAR BINARY
java.sql.DateDATE
java.sql.TimeTIME
java.sql.TimestampTIMESTAMP

使用PreparedStatement实现增,删,改操作

使用PreparedStatement实现增、删、改操作

	public void update(String sql,Object ...args){//sql中占位符的个数与可变形参的长度相同!
		Connection conn = null;
		PreparedStatement ps = null;
		try {
			//1.获取数据库的连接
			conn = JDBCUtils.getConnection();
			//2.预编译sql语句,返回PreparedStatement的实例
			ps = conn.prepareStatement(sql);
			//3.填充占位符
			for(int i = 0;i < args.length;i++){
				ps.setObject(i + 1, args[i]);//小心参数声明错误!!
			}
			//4.执行sql语句
			ps.execute();
		} catch (Exception e) {
			e.printStackTrace();
		}finally{
			//5.资源的关闭
			JDBCUtils.closeResource(conn, ps);
			
		}	
	}

使用PreparedStatement实现查询操作

public <T> T getInstance(Class<T> clazz,String sql,Object ...args){
        Connection conn=null;
        PreparedStatement ps=null;
        ResultSet rs=null;

        try {
            //获取数据库连接
            conn= JDBCUtils.getConnection();
            //预编译sql语句,得到PreparedStatement对象
            ps=conn.prepareStatement(sql);
            //填充占位符
            for(int i=0;i<args.length;i++){
                ps.setObject(i+1,args[i]);
            }
            //执行executeQuery(),得到结果集:ResultSet
            rs=ps.executeQuery();
            //获取结果集的元数据:ResultSetMetaData
            ResultSetMetaData rsmd=rs.getMetaData();
            //通过ResultSetMetaData获取结果集的列数
            int columnCount=rsmd.getColumnCount();
            if(rs.next()){
                T t=clazz.newInstance();
                //处理结果集一行数据中的每一列
                for (int i=0;i<columnCount;i++){
                    //获取列值
                    Object columValue=rs.getObject(i+1);
                    //获取每个列的名字
                    String columnName=rsmd.getColumnName(i+1);
                    //获取每个列的别名
                    String columnLable=rsmd.getColumnLabel(i+1);
                    //使用反射,给对象的相应属性赋值射
                    Field field=clazz.getDeclaredField(columnLable);
                    field.setAccessible(true);
                    field.set(t,columValue);
                }
                return t;
            }
        } catch (Exception e) {
            e.printStackTrace();
        } finally {
            //关闭资源
            JDBCUtils.closeResource(conn,ps,rs);
        }
        return null;
    }

ResultSet和ResultSetMetaData

ResultSet

  1. 查询需要调用PreparedStatementexecuteQuery() 方法,查询结果是一个ResultSet 对象
  2. ResultSet 对象以逻辑表格的形式封装了执行数据库操作的结果集,ResultSet 接口由数据库厂商提供实现
  3. ResultSet 对象维护了一个指向当前数据行的游标,初始的时候,游标在第一行之前,可以通过 ResultSet 对象的 next() 方法移动到下一行。调用 next()方法检测下一行是否有效。若有效,该方法返回 true,且指针下移。相当于Iterator对象的 hasNext() 和 next() 方法的结合体
  4. 当指针指向一行时, 可以通过调用 getXxx(int index) 或 getXxx(int columnName) 获取每一列的值
  5. ResultSet接口的常用方法:
next()
getMetaData()
getString()
getInt()
getDate()

注意:
Java与数据库交互涉及到的相关Java API中的索引都从1开始

在这里插入图片描述

ResultSetMetaData

可用于获取关于 ResultSet 对象中列的类型和属性信息的对象

常用方法:

getColumnName(int column):获取指定列的名称
getColumnLabel(int column):获取指定列的别名
getColumnCount():返回当前 ResultSet 对象中的列数
getColumnTypeName(int column):检索指定列的数据库特定的类型名称
getColumnDisplaySize(int column):指示指定列的最大标准宽度,以字符为单位
isNullable(int column):指示指定列中的值是否可以为 null。
isAutoIncrement(int column):指示是否自动为指定列进行编号,这样这些列仍然是只读的

资源的释放

释放ResultSet, Statement,Connection。
数据库连接(Connection)是非常稀有的资源,用完后必须马上释放,如果Connection不能及时正确的关闭将
导致系统宕机。Connection的使用原则是尽量晚创建,尽量早的释放。
可以在finally中关闭,保证及时其他代码出现异常,资源也一定能被关闭。

ORM思想

ORM(object relational mapping)

一个数据表对应一个java类
表中的一条记录对应java类的一个对象
表中的一个字段对应java类的一个属性

©️2020 CSDN 皮肤主题: 1024 设计师:上身试试 返回首页