一、操作和访问数据库
1. 数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。
2. 在java.sql包中有三个接口分别定义了对数据库的调用的不同方式:
- Statement: 用于执行静态SQL语句并返回它所生成结果的对象。
- PrepatedStatement: SQL语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句。
- CallableStatement: 用于执行SQL存储过程。
二、使用Statement操作数据库表的弊端
1. 使用Statement操作数据表存在弊端:
- 问题一:存在拼串操作,繁琐
- 问题二:存在SQL注入问题
2. SQL注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令(如:SELECT user,password FROM user_table WHERE user = ‘a’ OR ‘1’ = 'AND password = ’ OR ‘1’ = ‘1’),从而利用系统的SQL引擎完成恶意行为的做法。
3. 对于java而言,要防范SQL注入,只要用PreparedStatement(从Statement扩展而来) 取代Statement就可以了。
三、PreparedStatement
-
可以通过调用 Connection 对象的 preparedStatement() 方法获取
PreparedStatement 对象 -
PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的
SQL 语句 -
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调
用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方
法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开
始),第二个是设置的 SQL 语句中的参数的值
四、PreparedStatement vs Statement
- 代码的可读性和可维护性.。
- PreparedStatement 能最大可能提高性能:
- PreparedStatement 可以防止 SQL 注入
五、连接数据库、操作表的步骤
通用增删改操作代码:
//通用的增删改操作
//sql中占位符的个数与可变形参的长度相同
public void update(String sql,Object...args){
Connection conn = null;
PreparedStatement ps = null;
try {
//1.获取数据库的连接
conn = JDBCUtils.getConnection();
//2.预编译sql语句,返回PreparedStatement的实例
ps = conn.prepareStatement(sql);
//3.填充占位符
for (int i = 0; i < args.length; i++) {
ps.setObject(i+1,args[i]); //小心参数声明错误
}
//4.执行
ps.execute();
} catch (Exception e) {
e.printStackTrace();
}finally {
//5.资源的关闭
JDBCUtils.closeResource(conn, ps);
}
}
JDBCUtils类:
import java.io.IOException;
import java.io.InputStream;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Properties;
import com.atguigu1.connection.ConnectionTest;
import java.sql.Statement;
public class JDBCUtils {
/**
* 获取数据库的连接
*
* @return
* @throws Exception
*/
public static Connection getConnection() throws Exception {
// 1.读取配置文件的4个基本信息
InputStream is = ClassLoader.getSystemClassLoader().getResourceAsStream("jdbc.properties");
Properties pros = new Properties();
pros.load(is);
String user = pros.getProperty("user");
String password = pros.getProperty("password");
String url = pros.getProperty("url");
String driverClass = pros.getProperty("driverClass");
// 2.加载驱动
Class.forName(driverClass);
// 3.获取连接
Connection conn = DriverManager.getConnection(url, user, password);
return conn;
}
/**
* 关闭连接和Statement的操作
* @param conn
* @param ps
*/
public static void closeResource(Connection conn, Statement ps) {
// 7.资源的关闭
try {
if (ps != null)
ps.close();
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
try {
if (conn != null)
conn.close();
} catch (SQLException e) {
// TODO Auto-generated catch block
e.printStackTrace();
}
}
}
释放资源
- 释放ResultSet, Statement,Connection。
- 数据库连接(Connection)是非常稀有的资源,用完后必须马上释放,
如果Connection不能及时正确的关闭将导致系统宕机。Connection的使
用原则是尽量晚创建,尽量早的释放。