JDBC核心技术三(PreparedStatement)

最新推荐文章于 2023-04-21 10:13:37 发布
最新推荐文章于 2023-04-21 10:13:37 发布
阅读量859 收藏 6
点赞数 2
分类专栏: 数据库 文章标签: jdbc mysql sql java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wegofun/article/details/117230182
版权

系列笔记目录

  1. JDBC核心技术一(概述)
  2. JDBC核心技术二(获取数据库连接)
  3. JDBC核心技术三(PreparedStatement)
  4. JDBC核心技术四(Blob字段和批量插入)
  5. JDBC核心技术五 (数据库事务)
  6. JDBC核心技术六(数据库连接池)
  7. JDBC核心技术七(CallableStatement)

JDBC获取数据库连接后,需要对数据集进行一系列操作来实现我们的业务逻辑,PreparedStatement就是能实现数据库CRUD的存在。

一、操作和访问数据库

1. 操作数据库的三种方式

  • 数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果(一个数据库连接就是一个Socket连接);
  • java.sql包中有3个接口分别定义了对数据库的不同调用方式:
    • Statement:用于执行静态 SQL 语句并返回它所生成结果的对象;
    • PrepatedStatement:SQL 语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句;
    • CallableStatement:用于执行 SQL 存储过程
      三种操作数据库的方式

2. Statement操作数据库(不推荐)

  • 调用Connection对象的createStatement()方法创建Statement对象,该对象用于执行静态的SQL语句,并返回执行结果;
  • Statement接口中定义了以下方法用于执行SQL语句:
// 执行更新操作(INSERT、UPDATE、DELETE)
int excuteUpdate(String sql)
// 执行查询操作SELECT
ResultSet executeQuery(String sql)

2.1 使用Statement存在的弊端

  • 问题一:存在拼串操作,繁琐
  • 问题二:存在SQL注入问题

例子展示:

  • user_table 表数据和结构如下所示:

user_table表

  • user_table表执行查询操作需要进行SQL语句拼串操作,并存在SQL注入问题,操作代码如下所示:
	public void testLogin() {
		Scanner scan = new Scanner(System.in);
		System.out.print("用户名:");
		String userName = scan.nextLine();
		System.out.print("密   码:");
		String password = scan.nextLine();
		//需要拼接SQL语句打到查询目的
		String sql = "SELECT user,password FROM user_table WHERE USER = '" 
		+ userName + "' AND PASSWORD = '" + password + "'";
		User user = get(sql, User.class);
		if (user != null) {
			System.out.println("登陆成功!");
		} else {
			System.out.println("用户名或密码错误!");
		}
	}

2.2 SQL注入问题

  • SQL注入:是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入的数据中注入非法的SQL语句段或命令;
  • 例子:
SELECT user, password FROM user_table WHERE user='a' OR 1 = ' AND password = ' OR '1' = '1'

如上所示,如果用户输入的用户名user为 :

a' OR 1 =

密码password为:

OR '1' = '1

若不对用户输入进行充分检测,在查询语句的条件中,因为 ‘1’ = '1’的存在恒为真,这样会查询出所用的用户信息,查询结果如下:
SQL注入语句查询结果

Statement存在SQL注入以及执行效率低的问题,可通过从Statement扩展而来的PreparedStatement代替;

二、PreparedStatement操作数据库

1. PreparedStatement介绍

  • PreparedStatement接口是Statement的子接口,它表示一条预编译过的SQL语句;
  • 通过Connection对象的preparedStatement(String sql)方法获取PreparedStatement对象;
  • 预编译SQL语句中的参数用问号(?)代替,调用preparedStatement对象的setXxx()方法来设置参数;
  • 替换成PreparedStatement的执行流程如下所示:
    数据库操作执行流程

2. Java与SQL对应数据关系

Java类型SQL类型
booleanBIT
byteTINYINT
shortSMALLINT
intINTEGER
longBIGINT
StringCHAR,VARCHAR,LONGVARCHAR
byte arrayBINARY , VAR BINARY
java.sql.DateDATE
java.sql.TimeTIME
java.sql.TimestampTIMESTAMP

3. PreparedStatement实现增、删、改操作

封装的JDBC加载驱动获取连接,关闭资源通过操作,JDBCUtils工具类:

public class JDBCUtils {
    /*
    * 获取数据库的连接
    */
    public static Connection getConnection() throws Exception {
        //1. 读取配置文件,获取JDBCUrl, user, password, driverClass
        InputStream is = ClassLoader.getSystemClassLoader().getResourceAsStream("jdbc.properties");
        Properties info = new Properties();
        info.load(is);
        String user = info.getProperty("user");
        String password = info.getProperty("password");
        String url = info.getProperty("url");
        String driverClass = info.getProperty("driverClass");

        //2. 加载驱动
        Class.forName(driverClass);

        //3. 获取连接
        Connection connection = DriverManager.getConnection(url, user, password);
        return connection;
    }

    /*
    * 关闭数据库的连接的资源
    */
    public static void closeResource(Connection connection, Statement statement){
        if(connection != null) {
            try {
                connection.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
        if(statement != null) {
            try {
                statement.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
    }

    public static void closeResource(Connection connection, Statement statement, ResultSet resultSet){
        if(connection != null) {
            try {
                connection.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
        if(statement != null) {
            try {
                statement.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
        if(resultSet != null) {
            try {
                resultSet.close();
            } catch (SQLException throwables) {
                throwables.printStackTrace();
            }
        }
    }
}

PreparedStatement执行修改操作(增删改)

	public void update(String sql,Object ... args){
		Connection conn = null;
		PreparedStatement ps = null;
		try {
			//1.获取数据库的连接
			conn = JDBCUtils.getConnection();
			
			//2.获取PreparedStatement的实例 (或:预编译sql语句)
			ps = conn.prepareStatement(sql);
			//3.填充占位符
			for(int i = 0;i < args.length;i++){
				ps.setObject(i + 1, args[i]);
			}
			
			//4.执行sql语句
			ps.execute();
		} catch (Exception e) {
			e.printStackTrace();
		}finally{
			//5.关闭资源
			JDBCUtils.closeResource(conn, ps);
		}
	}

4. PreparedStatement实现查询操作

4.1 ResultSet与ResultSetMetaData

4.1.1 Result
  • 调用PreparedStatement的executeQuery()方法,查询结果是一个ResultSet对象
  • ResultSet对象以逻辑表格的形式封装了执行数据库操作的结果集;(ResultSet接口有数据库厂商提供实现)
  • ResultSet返回的实际结果是一张数据表,有一个指针指向数据表的第一条记录的前面,结构如下图所示:
    ResultSet结果表示意图
  • 通过ResultSet的next()方法可以移动到下一行,next()的执行逻辑,判断下一行是否有效,返回true移动到下一行(相当于Iterator对象的hasNext()和next()方法的结合体);
4.1.2 ResultSetMetaData
  • 用户获取关于ResultSet对象中的类型和属性信息的对象
  • 通过如下方式获得:
ResultSetMetaData meta = resultSet.getMetaData();

ResultSetMetaData的常见方法:

  • getColumnName(int column):获取指定列的名称。
  • getColumnLabel(int column):获取指定列的别名。
  • getColumnCount():返回当前 ResultSet 对象中的列数。
  • getColumnTypeName(int column):检索指定列的数据库特定的类型名称。
  • getColumnDisplaySize(int column):指示指定列的最大标准宽度,以字符为单位。
  • isNullable(int column):指示指定列中的值是否可以为 null。
  • isAutoIncrement(int column):指示是否自动为指定列进行编号,这样这些列仍然是只读的。

4.2 ResultSet+ResultSetMetaData执行查询操作

  • 查询操作的执行流程如下图所示:
    PreparedStatement查询操作流程
  • 查询操作代码如下所示:
	public <T> T getInstance(Class<T> clazz, String sql, Object... args) {
		Connection conn = null;
		PreparedStatement ps = null;
		ResultSet rs = null;
		try {
			// 1.获取数据库连接
			conn = JDBCUtils.getConnection();

			// 2.预编译sql语句,得到PreparedStatement对象
			ps = conn.prepareStatement(sql);

			// 3.填充占位符
			for (int i = 0; i < args.length; i++) {
				ps.setObject(i + 1, args[i]);
			}

			// 4.执行executeQuery(),得到结果集:ResultSet
			rs = ps.executeQuery();

			// 5.得到结果集的元数据:ResultSetMetaData
			ResultSetMetaData rsmd = rs.getMetaData();

			// 6.1通过ResultSetMetaData得到columnCount,columnLabel;通过ResultSet得到列值
			int columnCount = rsmd.getColumnCount();
			if (rs.next()) {
				T t = clazz.newInstance();
				for (int i = 0; i < columnCount; i++) {// 遍历每一个列
					// 获取列值
					Object columnVal = rs.getObject(i + 1);
					// 获取列的别名:列的别名,使用类的属性名充当
					String columnLabel = rsmd.getColumnLabel(i + 1);
					// 6.2使用反射,给对象的相应属性赋值
					Field field = clazz.getDeclaredField(columnLabel);
					field.setAccessible(true);
					field.set(t, columnVal);
				}
				return t;
			}
		} catch (Exception e) {
			e.printStackTrace();
		} finally {
			// 7.关闭资源
			JDBCUtils.closeResource(conn, ps, rs);
		}
		return null;
	}

5. PreparedStatement VS Statement

  • PreparedStatement的代码可读性和易维护性高于Statement
  • PreparedStatement能提高数据库的执行效率:
  1. DBServer会对预编译语句提供性能优化,DBserver编译后的执行代码会被缓存下来,下次执行相同的代码不需要进行编译,直接传参即可执行;
  2. Statement每次自行一个SQL语句需要编译一次;
  3. PreparedStatement的执行效率高于Statement
  • PreparedStatement可以防止SQL注入

6. 资源的释放

  • 需要释放的资源有:ResultSet、Statement、Connection
  • 数据库连接(Connection)资源非常宝贵,用完需马上释放,使用原则是:尽量晚创建、尽量早释放

7. JDBC API小结

  • 两种思想
    • 面向接口编程思想(Driver、Statement)
    • ORM思想(Object Relational Mapping)
      • 一个数据表对应一个Java Bean 类
      • 表中一条记录对应Java类的一个对象
      • 表中的一个字段对应Java类的一个属性
  • 两种技术
    • JDBC结果集的元数据:ResultSetMetaData
      • 获取列数:getColumnCount()
      • 获取列的别名:getColumnLabel()
    • 通过反射,创建指定类的对象,获取指定的属性并赋值
wegofun
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC核心技术_汇总篇.pdf
06-08
该文档主要汇总了JDBC基本知识、获取数据库连接的方式、使用Statement和PreparedStatement实现CRUD操作、数据库事务以及数据库连接池等内容
Java 进阶篇】JDBC PreparedStatement 详解
最新发布
繁依Fanyi的博客
10-03 1276
JDBC 中的一个接口,用于执行预编译的 SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。是 JDBC 中用于执行预编译 SQL 语句的重要接口,它具有高效性、安全性和可维护性的优势。在实际应用中,使用能够有效地防止 SQL 注入攻击,并提高数据库操作的性能。通过本文的介绍,您应该对的基本概念和使用方法有了更清晰的理解。
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 4744
Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
JDBC的PreparedStatement
刘顺顺的博客
10-11 613
文章目录JDBC的PreparedStatement是什么?相对于Statement,PreparedStatement的优点是什么? JDBC的PreparedStatement是什么? PreparedStatement对象代表的是一个预编译的SQL语句。 用它提供的setter方法可以传入查询的变量。由于 PreparedStatement是预编译的,通过它可以将对应的SQL语句高效的执行多次。 由于PreparedStatement自动对特殊字符转义,避免了SQL注入攻击,因此应当尽量的使用它。 相
JDBC---PreparedStatement用法详解
silmeweed的博客
04-16 4029
一 简介: JDBC的最基本的使用过程 加载驱动类:Class.forName() 获取数据库连接:DriverManager.getConnection() 创建SQL语句执行句柄:Connection.createStatement() 执行SQL语句:Statement.executeUpdate() 释放数据库连接资源:finally,Connection.cl...
JDBC编程之预编译SQL与防注入式攻击以及PreparedStatement的使用教程
a631278993的博客
09-16 303
转载请注明原文地址: http://www.cnblogs.com/ygj0930/p/5876951.html 在JDBC编程中,常用Statement、PreparedStatement和CallableStatement种方式来执行查询语句,其中Statement用于通用查询,PreparedStatement用于执行参数化查询,而Callabl...
JDBC核心技术精讲
06-29
本课程《JDBC核心技术精讲》为JavaWeb必学课程。课程内容丰富全面,全程手写代码,可以带你一步一步学会JDBC!课程内容涵盖如下:1、JDBC概述及核心类介绍 2、JDBC入门案例 3、Statement对象介绍和使用4、JDBC使用...
自定义JDBC框架-JDBCFrarmework源码
09-09
可以很方便的操作JDBC,该自定义框架提供了两个相关的核心方法: int update(sql , params):是操作insert 、update、delete相关的SQL语句的方法,参数sql,是传入一个满足PreparedStatement结构的SQL语句,params是...
JSP2.0技术手册pdf(带示例源码).zip
07-20
它们是最重要的 Java 核心技术。对这两项技术的深入了解,将有助于您未来对于 JavaServer Faces(JSF)技术以及Java Web Services技术的学习 目录 第一章 安装执行环境 1-1 安装 J2SDK 1.4.2 1-2 安装 Tomcat ...
二十种设计模式【PDF版】
05-30
经常以那些技术只适合大型项目为由,避开或忽略它们,实际中,Java 的接口或抽象类是真正体现 Java 思想的核心所在,这些 你都将在 GoF 的设计模式里领略到它们变幻无穷的魔力。 GoF 的设计模式表面上好象也是一种...
JDBC之PreparedStatement的用法
shuo_Java的博客
04-21 747
JDBC之PreparedStatement的用法
JDBC下篇】PreparedStatement类 && JDBC事务
llg___的博客
12-13 510
之前有的网站,当输入上面这种非法密码的时候,会直接锁定这个用户账户。但这样带来的问题是:如果我知道某人的账户名,再输入非法密码,岂不是可以锁别人的账户。被分成了两块,一块放在获取(预编译的)数据库操作对象前,一部分放在了执行SQL前,即setString传值。但实际的业务中,通常都是N条DML语句共同联合才能完成一个业务,因此,必须保证这些DML语句在同一个事务中同时成功或者同时失败。因此,Statement极少用,只有当业务方面要求支持SQL注入,或者要进行SQL拼接的时候,才用Statement
JAVAJDBC】【使用PreparedStatement操作数据库
芊樱烛渊的博客
08-07 4269
这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
JDBC
腾飞的菜鸟的专栏
12-11 796
 JDBC为什么要使用PreparedStatement而不是Statement PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 C
JDBC PreparedStatement的使用
qq_57389269的博客
08-03 607
PreparedStatement: 可以通过调用 Connection 对象的 preparedStatement(String sql) 方法获取PreparedStatement 对象。 PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用PreparedStatement 对象的 setxxx() 方法来设置这些参数.。se
JDBC之使用PreparedSatement
weixin_43945486的博客
08-03 555
目录1.操作和访问数据库2.使用Statement操作数据弊端3.PreparedStatement的使用3.1 介绍3.2 JavaSQL对应数据类型转换3.3 使用PreparedStatement实现增、删、改操作3.4 使用PreparedStatement实现查询操作3.4.1 查询后返回单个数据结果3.4.2 查询后返回多个数据结果集3.5 注意事项 1.操作和访问数据库 数据库连接用于向数据库服务端发送命令和SQL语句,并接受服务器端返回的结果 java.sql 包中定义对数据库的调
JDBC快速入门(ResultSet、PreparedStatementJDBC执行流程)
十八岁讨厌编程的博客
04-26 1186
文章目录ResultSet案例PreparedStatement代码模拟SQL注入问题PreparedStatement用法原理 ResultSet ResultSet(结果集对象)作用: 封装了SQL查询语句的结果。 而执行了DQL语句后就会返回该对象,对应执行DQL语句的方法如下: ResultSet executeQuery(sql):执行DQL 语句,返回 ResultSet 对象 那么我们就需要从 ResultSet 对象中获取我们想要的数据。ResultSet 对象提供了操作查询结果数据
JDBC知识【JDBC API详解】第章下篇
若有所执,必有所成,心之所向,必显光芒
08-23 450
JDBC API:案例,Prepared StatementSQL注入,模拟问题,解决问题
JDBC】-- PreparedStatement实现数据库查询操作
张修宇的博客
07-21 3817
ORM思想(objectrelationalmapping)1、一个数据表对应一个java类2、表中一条记录对应java类的一个对象3、表中一个字段对应java类的一个属性JDBC结果集的元数据获取列数获取列的别名反射通过反射,创建指定类的对象,获取指定的属性并赋值。...
学习jdbc的重点有哪些
07-11
学习 JDBC 的重点包括以下几个方面: 1. JDBC 基础知识:了解 JDBC 的概念、作用和基本原理,掌握 JDBC核心接口和类。 2. 数据库连接:学习如何通过 JDBC 建立与数据库的连接,包括加载数据库驱动、创建连接对象等。 3. SQL 执行:掌握通过 JDBC 执行 SQL 语句的方法,包括查询、插入、更新和删除等操作,了解如何使用 PreparedStatement 和 CallableStatement。 4. 事务处理:了解事务的概念和特性,学习如何通过 JDBC 进行事务管理,包括事务的开启、提交和回滚。 5. 数据库元数据:熟悉如何使用 JDBC 获取数据库的元数据信息,包括表结构、列属性、索引等。 6. 批处理操作:学习如何使用 JDBC 进行批量操作,提高数据库操作的效率。 7. 错误处理与异常处理:掌握如何处理 JDBC 操作中可能出现的错误和异常情况,包括异常的捕获、处理和日志记录。 8. 连接池技术:了解连接池的概念和作用,学习如何使用连接池管理数据库连接,提高系统性能和资源利用率。 以上是学习 JDBC 的一些重点内容,希望对你有帮助!如果有其他问题,可以继续问我。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值