JDBC:以面向对象的思想编写JDBC程序

最新推荐文章于 2020-03-25 11:25:05 发布
最新推荐文章于 2020-03-25 11:25:05 发布
阅读量2.5k 收藏 3
点赞数
分类专栏: JDBC Learn_Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wjw0130/article/details/43722339
版权

题目简述:

数据表中添加学生信息,并且可以通过身份证号准考证来查询学生信息。
Name        Type         Nullable Default Comments 
----------- ------------ -------- ------- -------- 
IDCARD      NUMBER(10)   Y                         
EXAMCARD    NUMBER(10)   Y                         
STUDENTNAME VARCHAR2(20) Y                         
LACATION    VARCHAR2(20) Y                         
GRADE       NUMBER(3)    Y       

测试类 
package xuezaipiao3;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;

import javax.sql.rowset.JdbcRowSet;

import xuezaipiao1.JDBC_Tools;

/**
 * 思考:
 * 向数据表中添加一条学生信息记录,那么学生信息就可以创建一个学生类来储存信息
 * 步骤:
 * 1.
 * 	1) Student成员变量 对应studnt数据表 
 * 	2) 创建一个方法addStudent(Student student)
 *  3) 方法中执行相应的 SQL 操作
 * 2.使用PreparedStatement Statement的子接口,可以传入带占位符的SQL语句,并且提供了补充占位符的
 * 	的方法
 * 	1) String sql = "INSERT INTO student values(?,?,?,?,?)";
 * 	PreparedStatement ps = conn.preparedStatement(sql);
 * 	2) 调用PreparedStatement 的setXxx(int index,object val) 设置占位符的值
 * 	3) 执行executeUpdate() 或executeQuery() 就不需要再传入SQL语句了
 * 	4) PreparedStatement 可以防止SQL注入攻击
 * @author Kevy
 *	
 */
public class thinkInJDBC {

	public static void main(String[] args) {
		//Operation op = new Operation();
		//Student s = op.getStudentFromConsole();
		//op.addStudent(s);
		//op.QueryStudent();
	
	}
}
Operation类 
package xuezaipiao3;

import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

import xuezaipiao1.JDBC_Tools;

/**
 * 进行SQL操作的类
 * @author Kevy
 *
 */
public class Operation {

	public void QueryStudent(){
		int searchType = getSearchTypeFromConsole();
		Student student = searchStudent(searchType);
		printStudent(student);
	}
	
	/**
	 * 打印学生信息
	 * @param student
	 */
	private void printStudent(Student student) {
		if(student!=null){
			System.out.println(student);
		}else{
			System.out.println("查无此人!");
		}
	}
	/**
	 * 
	 * @param searchType 1 And 2
	 * @return
	 */
	private Student searchStudent(int searchType) {
		
		String sql = "SELECT * FROM student "
				+ "where ";
		Scanner scanner = new Scanner(System.in);
		if(searchType==1){
			System.out.print("请输入身份证:");
			int id = scanner.nextInt();
			sql = sql + "IDCARD = " +id;
		}else{
			System.out.print("请输入准考证:");
			int id = scanner.nextInt();
			
			sql = sql + "EXAMCARD = " +id;
		}
		
		Student student = getStudent(sql);
		return student;
	}
	
	/**
	 * 根据传入的sql返回Student对象
	 * @param sql
	 * @return
	 */
	private Student getStudent(String sql) {
		
		Connection connection = null;
		Statement statement = null;
		ResultSet rs = null;
		Student stu = null;
		try {
			connection = JDBC_Tools.getConnection();
			statement = connection.createStatement();
			rs = statement.executeQuery(sql);
			if(rs.next()){
				stu = new Student(rs.getInt("IDCARD"),
						rs.getInt("EXAMCARD"),rs.getString("STUDENTNAME"),
						rs.getString("LACATION"),rs.getInt("GRADE"));
			}
		} catch (Exception e) {
			
			e.printStackTrace();
		}finally{
			JDBC_Tools.relaseSource(rs, connection, statement);
		}
		return stu;
	}
	/**
	 * 
	 * @return 1 用身份证查询 , 2 用准考证号查询  其他无效
	 */
	@SuppressWarnings("resource")
	private int getSearchTypeFromConsole() {
		
		System.out.println("请输入查询类型:1.身份证查询   2.准考证查询");
		System.out.print("你的选择:");
		Scanner scanner = new Scanner(System.in);
		
		int type = scanner.nextInt();
		
		if(type!=1 && type!=2){
			System.out.println("输入有误,请重新输入");
			throw new RuntimeException();
		}
		return type;
	}
	
	/**
	 * 从控制台获取信息 并创建学生对象
	 * @return
	 */
	public Student getStudentFromConsole() {
		
		Scanner scanner = new Scanner(System.in);
		Student student = new Student();
		
		System.out.print("IDCard:");
		student.setIDCard(scanner.nextInt());
		
		System.out.print("ExamID:");
		student.setExamID(scanner.nextInt());
		
		System.out.print("StudentName:");
		student.setStudentName(scanner.next());
		
		System.out.print("Llocation:");
		student.setLacation(scanner.next());
		
		System.out.print("Grade:");
		student.setGrade(scanner.nextInt());
		scanner.close();
		return student;
		
	}
	
	/**
	 * 添加学生信息
	 * @param student
	 */
	public void addStudent(Student student){
		/*
		 * 使用普通方法
		 * String sql = "INSERT INTO STUDENT "
				+ "VALUES("
				+student.getIDCard()
				+","
				+student.getExamID()
				+",'"
				+student.getStudentName()
				+"','"
				+student.getLacation()
				+"',"
				+student.getGrade()
				+")"; 
		JDBC_Tools.update(sql);
				*/
		/**
		 * 使用PreparedStatement
		 */
		String sql = "INSERT INTO student values(?,?,?,?,?)";
		newUpdate(sql,student.getIDCard(),student.getExamID(),student.getStudentName(),
				student.getLacation(),student.getGrade());
	}
	/**
	 * 新的修改方法
	 * @param sql
	 * @param objs :可变参数
	 */
	private void newUpdate(String sql,Object...objs){
		Connection conn = null;
		PreparedStatement ps = null; 
		try {
			conn = JDBC_Tools.getConnection();
			ps = conn.prepareStatement(sql);
			for(int i = 0;i<objs.length ; i++ ){	
				ps.setObject(i+1, objs[i]);
			}
			ps.executeUpdate(); //注意这里就不需要再添加sql参数了
			
		} catch (Exception e) {
			
			e.printStackTrace();
		}finally{
			JDBC_Tools.relaseSource(conn, ps);
		}
	}
}
Student类 
public class Student {
	private int IDCard;
	private int ExamID;
	private String StudentName;
	private String Lacation;
	private int Grade;
	
	public Student(int iDCard, int examID, String studentName, String lacation,
			int grade) {
		super();
		IDCard = iDCard;
		ExamID = examID;
		StudentName = studentName;
		Lacation = lacation;
		Grade = grade;
	}
	
	@Override
	public String toString() {
		return "Student [IDCard=" + IDCard + ", ExamID=" + ExamID
				+ ", StudentName=" + StudentName + ", Lacation=" + Lacation
				+ ", Grade=" + Grade + "]";
	}

	public Student() {
		super();
	}
	
	public int getIDCard() {
		return IDCard;
	}
	public void setIDCard(int iDCard) {
		IDCard = iDCard;
	}
	public int getExamID() {
		return ExamID;
	}
	public void setExamID(int examID) {
		ExamID = examID;
	}
	public String getStudentName() {
		return StudentName;
	}
	public void setStudentName(String studentName) {
		StudentName = studentName;
	}
	public String getLacation() {
		return Lacation;
	}
	public void setLacation(String lacation) {
		Lacation = lacation;
	}
	public double getGrade() {
		return Grade;
	}
	public void setGrade(int grade) {
		Grade = grade;
	}
	
}

JDBC工具类 
package xuezaipiao1;
/**
 * JDBC工具类
 * 封装一些简单的JDBC操作方法
 * version 1
 */
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;

public class JDBC_Tools {
	/**
	 * 用来执行 SQL 的方法,包括INSRT , UPDATE , DELETE,不包含SELECT
	 * 参数 String SQL语句
	 * @return int 执行了几条记录
	 */
	public static int update(String sql){
			Connection conn = null;
			Statement statement = null;
			int num = 0;
			try {
				try {
					conn = JDBC_Tools.getConnection();
				} catch (Exception e) {	
					e.printStackTrace();
				}
				statement = conn.createStatement();
				
				num = statement.executeUpdate(sql);
			} catch (SQLException e) {
				e.printStackTrace();
			}finally{
				JDBC_Tools.relaseSource(conn, statement);
			}
		return num;
	}
	
	/**
	 * 用来执行 SQL 的SELECT 方法
	 */
	public static void query(String sql){
		Connection conn = null;
		Statement statement = null;
		ResultSet rs = null;
		try {
			conn = JDBC_Tools.getConnection();
			statement = conn.createStatement();
			rs = statement.executeQuery(sql);
			while(rs.next()){
				System.out.println(rs.getInt("id"));
				System.out.println(rs.getString(2));
				System.out.println(rs.getString("email"));
			}
		} catch (Exception e) {
		
			e.printStackTrace();
		}finally{
			JDBC_Tools.relaseSource(rs, conn, statement);
		}
	}
	
	/**
	 * 用来释放资源,参数是 Connection 、 Statement
	 * @param conn
	 * @param statement
	 */
	public static void relaseSource(ResultSet rs,Connection conn ,Statement statement){
		if(rs != null){
			try {
				rs.close();
			} catch (SQLException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}
		JDBC_Tools.relaseSource(conn, statement);
	}
	public static void relaseSource(Connection conn ,Statement statement){
		if(statement!=null){
			try {
				statement.close();
			} catch (SQLException e) {
				e.printStackTrace();
			}
		}
		
		//使用两个 if ,这样即使中间出现异常,程序还是继续执行下去
		if(conn!=null){
			try {
				conn.close();
			} catch (SQLException e) {
				e.printStackTrace();
			}
		}
	}
	/**
	 * 
	 * @return
	 * @throws Exception
	 */
	public static Connection getConnection() throws Exception {
		Properties properties = new Properties();
		try {
//			InputStream in = getClass().getClassLoader().getResourceAsStream("jdbc.properties");
//			properties.load(in);
			properties.load(new FileInputStream(
					"D://LearnJava//learnJDBC//Lesson2_UseStatementAndResultSet//src//jdbc.properties"));
		} catch (FileNotFoundException e) {
			e.printStackTrace();
		} catch (IOException e) {
			e.printStackTrace();
		}
		String user = properties.getProperty("user");
		String password = properties.getProperty("password");
		String jdbcUrl = properties.getProperty("jdbcUrl");
		String dirverName = properties.getProperty("driver");
		try {
			Class.forName(dirverName);
		} catch (ClassNotFoundException e1) {

			e1.printStackTrace();
		}
		Connection connection = null;
		try {
			connection = DriverManager.getConnection(jdbcUrl, user, password);
		} catch (SQLException e) {
			e.printStackTrace();
		}
		return connection;
	}
}
SQL注入攻击:
SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法
对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement 取代 Statement 就可以了
SQL注入问题: 
create table SQLAttack(
       
       user varchar2(20),
       password varchar2(10)
)

SQL> INSERT INTO SQLATTACK (USERNAME,PSW)
  2  VALUES('tom','cat');


public static void SQLInjection(){
//		String userName = "tom";
//		String psw = "cat";
		String userName = "a' or psw = ";
		String psw = "or '1' ='1";
		
		String sql = "Select * from SQLATTACK WHERE userName = '"+
				userName+"' AND "+
				"PSW = '"+ psw +"'";
		//利用sql的拼写漏洞 
		System.out.println(sql);
		
		Connection conn = null;
		Statement statement = null;
		ResultSet rs = null;
		try {
			conn = JDBC_Tools.getConnection();
			statement = conn.createStatement();
			rs = statement.executeQuery(sql);
			if(rs.next()){
				System.out.println("登录成功");
			}else{
				System.out.println("账号、密码错误!");
			}
		} catch (Exception e) {
			
			e.printStackTrace();
		}
	}
使用PreparedStatement就没有上述问题 
public static void SQLInjection(){
//		String userName = "tom";
//		String psw = "cat";
		String userName = "a' or psw = ";
		String psw = "or '1' ='1";
		
		String sql = "Select * from SQLATTACK WHERE userName = ?"+
		"AND PSW = ?";
	
		System.out.println(sql);
		
		Connection conn = null;
		PreparedStatement ps = null;
		ResultSet rs = null;
		try {
			conn = JDBC_Tools.getConnection();
			ps = conn.prepareStatement(sql);
			ps.setString(1,userName);
			ps.setString(2, psw);
			/**
			 * PreparedStatement 就是在用 userName 和 psw 去匹配,所以不会出现问题
			 */
			rs = ps.executeQuery();
			if(rs.next()){
				System.out.println("登录成功");
			}else{
				System.out.println("账号、密码错误!");
			}
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
PreparedStatement VS Statement

PreparedStatement 能最大可能提高性能:
1)DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行。
2)在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次.  
(语法检查,语义检查,翻译成二进制命令,缓存)
3)PreparedStatement 可以防止 SQL 注入 


u013497151
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBCJDBC程序
m0_54241777的博客
01-09 1026
学习目标:
JDBC系列(二):JDBC代码的编写步骤
北溟南风起
07-05 1665
JDBC系列(二):JDBC代码的编写步骤 JDBC代表一组公共的接口。 JDBC中的这些公共接口和DBMS厂商提供的实现类(jar包),是为了实现java代码可以连接DBMS,并且操作其中的数据。 1. 常用的接口: Connection: 连接 Statement 和 PrepareStatement :增、删、改、查 ResultSet: 接收和处理查询结果 2.辅助的类: DriverManager: 驱动管理类 3.JDBC程序编写步骤: 注册驱动 (如果缺少此
Java系列技术之JDBC操作数据库
09-21
JDBC连接数据库是Java系列技术中数据库知识的核心技术,是学习后续课程JavaWeb入门前需要掌握的基础! 这门课的前导课是《Java系列技术之Mysql》。
Java经典封装JDBC模板(充分体现面向对象思想)
热门推荐
yangxiaojun9238的专栏
03-13 2万+
程序清单一览 bean类 package com.software.usermanager.bean; public class Users { private String id; private String name; private String age; public String getId() { return id; } public v
JDBC(五)面向对象编程思想和更新、查询封装
Dason_yu的博客
02-23 535
面向对象编程思想和更新、查询封装
05. JDBC基础 — 以面向对象思想编写JDBC程序
散场前的温柔的博客
03-25 298
JDBC基础   —— 以面向对象思想编写JDBC程序   其实本章也没什么技术性的知识点,只是使用面向对象的方式去举例添加一条数据   前面的几章都是我们写好的SQL语句直接执行的,但是现实中我们不可能指望用户去编写SQL,我们可能需要从控制台或者前端获取一个对象,一个实体类对象,我们需要程序能直接添加实体类,而不是我们去手写SQL   所以我们需要写一个灵活的SQL,可以根据传输进来的对象实...
demo-dao-jdbc:使用JDBC的DAO实现
02-17
- "dao":数据访问对象,是面向对象设计模式的一种,用于处理数据库操作。 - "jdbc-driver":JDBC驱动,它是Java程序连接特定数据库的桥梁。不同的数据库需要不同类型的JDBC驱动,例如MySQL Connector/J、Oracle ...
JAVA 面向对象程序设计第9章 JDBC编程.pptx
07-05
【JAVA面向对象程序设计第9章 JDBC编程】 在Java编程中,JDBC(Java Database Connectivity)是连接数据库的关键工具,允许开发者使用SQL语句来执行数据库操作。本章主要涵盖以下知识点: 1. **JDBC简介** - JDBC...
面向对象程序设计】Java大作业 租车系统V4.0
最新发布
10-28
面向对象程序设计】Java大作业 - 租车系统V4.0是一个综合性的项目,旨在教授和应用Java编程语言的面向对象特性,同时结合数据库管理技术,构建一个汽车租赁管理平台。在这个项目中,学生将面临设计和实现一套完整...
Spring3 JDBC 通用DAO封装2 dao层终于完成dao层大概上传完整代码
04-12
NULL 博文链接:https://shizhijian870525.iteye.com/blog/1697846
spring-jdbc:SpringJDBC + MVC的便签组
04-29
1. **Spring JDBC**:Spring JDBC模块提供了一种抽象层,它简化了JDBC的使用,减少了编写模板代码的需要。Spring JDBC通过`JdbcTemplate`和`NamedParameterJdbcTemplate`提供了一种声明式的方式来执行SQL查询,这样...
doobie:用于Scala的功能JDBC
02-04
Scala是一种多范式编程语言,结合了面向对象和函数式编程的特点。它在Java虚拟机(JVM)上运行,并且可以无缝集成Java库。doobie利用Scala的强类型和高阶函数特性,为数据库操作提供了更安全、更易于理解和测试的API...
JDBC模型—深入理解JDBC设计思想(探究Class.forName("DBDriver"))
厚积而薄发,谋定而后动
03-24 5507
写在前面:笔者上篇文章《JDBC要点总结、SQL注入示例(Statement和PreparedStatement)》中提到过,JDBC是sun公司制定的一系列接口标准,由不同厂商(Oracle、MySQL等)实现接口方法并封装成驱动文件,供开发人员操作数据库。开发者可通过统一的代码操作不同类型数据库,那么如何实现这种统一操作呢?本篇深入JDBC设计思想,用示例代码模拟整个JDBC运行原理。 设计
Java JDBC入门之五:以面向对象思想编写JDBC程序
码农回顾
02-28 394
Java JDBC入门之五:以面向对象思想编写JDBC程序一、 思想二、代码 一、 思想 传入一个对象的形式去执行插入,现在使用的是拼接SQL字符串的方法,后面改进,使用占位符的方法。 通过拼接SQL去查询信息 二、代码 测试代码 public class JDBCTest { @Test public void testGetStudent() { //1. 得到查询的类...
Java经典封装JDBC模板(充分体现面向对象思想)(转)
weixin_33802505的博客
08-22 95
程序清单一览 bean类 1 package com.software.usermanager.bean; 2 3 public class Users { 4 private String id; 5 private String name; 6 private String age; 7 public String get...
JDBC :通过 Statement 执行数据表的更新操作
NotPerfect-EOF
02-10 5002
通过Statement来执行SQL的Insert,Delete,Update操作 package xuezaipiao; /** * 通过JDBC向数据表中添加数据 * 1.获取数据库连接 * 2.Statement : 用于执行SQL的对象 * --通过 Connection 的createStatement() 方法来获取 * --通过executeUpdate(sql) 可以
Java语言程序设计:面向对象与实战
课程包括Java程序设计基础、面向对象程序设计、JDK配置、简单Java程序编写等内容,并通过实验教学深化理解和应用。" 在Java编程中,面向对象是核心概念之一,它涉及到类、对象、继承、多态等关键知识点。面向对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值