系列笔记目录
- JDBC核心技术一(概述)
- JDBC核心技术二(获取数据库连接)
- JDBC核心技术三(PreparedStatement)
- JDBC核心技术四(Blob字段和批量插入)
- JDBC核心技术五 (数据库事务)
- JDBC核心技术六(数据库连接池)
- JDBC核心技术七(CallableStatement)
JDBC获取数据库连接后,需要对数据集进行一系列操作来实现我们的业务逻辑,PreparedStatement就是能实现数据库CRUD的存在。
一、操作和访问数据库
1. 操作数据库的三种方式
- 数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果(一个数据库连接就是一个Socket连接);
- java.sql包中有3个接口分别定义了对数据库的不同调用方式:
- Statement:用于执行静态 SQL 语句并返回它所生成结果的对象;
- PrepatedStatement:SQL 语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句;
- CallableStatement:用于执行 SQL 存储过程;
2. Statement操作数据库(不推荐)
- 调用Connection对象的createStatement()方法创建Statement对象,该对象用于执行静态的SQL语句,并返回执行结果;
- Statement接口中定义了以下方法用于执行SQL语句:
// 执行更新操作(INSERT、UPDATE、DELETE)
int excuteUpdate(String sql)
// 执行查询操作SELECT
ResultSet executeQuery(String sql)
2.1 使用Statement存在的弊端
- 问题一:存在拼串操作,繁琐
- 问题二:存在SQL注入问题
例子展示:
- user_table 表数据和结构如下所示:
- user_table表执行查询操作需要进行SQL语句拼串操作,并存在SQL注入问题,操作代码如下所示:
public void testLogin() {
Scanner scan = new Scanner(System.in);
System.out.print("用户名:");
String userName = scan.nextLine();
System.out.print("密 码:");
String password = scan.nextLine();
//需要拼接SQL语句打到查询目的
String sql = "SELECT user,password FROM user_table WHERE USER = '"
+ userName + "' AND PASSWORD = '" + password + "'";
User user = get(sql, User.class);
if (user != null) {
System.out.println("登陆成功!");
} else {
System.out.println("用户名或密码错误!");
}
}
2.2 SQL注入问题
- SQL注入:是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入的数据中注入非法的SQL语句段或命令;
- 例子:
SELECT user, password FROM user_table WHERE user='a' OR 1 = ' AND password = ' OR '1' = '1'
如上所示,如果用户输入的用户名user为 :
a' OR 1 =
密码password为:
OR '1' = '1
若不对用户输入进行充分检测,在查询语句的条件中,因为 ‘1’ = '1’的存在恒为真,这样会查询出所用的用户信息,查询结果如下:
Statement存在SQL注入以及执行效率低的问题,可通过从Statement扩展而来的PreparedStatement代替;
二、PreparedStatement操作数据库
1. PreparedStatement介绍
- PreparedStatement接口是Statement的子接口,它表示一条预编译过的SQL语句;
- 通过Connection对象的preparedStatement(String sql)方法获取PreparedStatement对象;
- 预编译SQL语句中的参数用问号(?)代替,调用preparedStatement对象的setXxx()方法来设置参数;
- 替换成PreparedStatement的执行流程如下所示:
2. Java与SQL对应数据关系
Java类型 | SQL类型 |
---|---|
boolean | BIT |
byte | TINYINT |
short | SMALLINT |
int | INTEGER |
long | BIGINT |
String | CHAR,VARCHAR,LONGVARCHAR |
byte array | BINARY , VAR BINARY |
java.sql.Date | DATE |
java.sql.Time | TIME |
java.sql.Timestamp | TIMESTAMP |
3. PreparedStatement实现增、删、改操作
封装的JDBC加载驱动获取连接,关闭资源通过操作,JDBCUtils工具类:
public class JDBCUtils {
/*
* 获取数据库的连接
*/
public static Connection getConnection() throws Exception {
//1. 读取配置文件,获取JDBCUrl, user, password, driverClass
InputStream is = ClassLoader.getSystemClassLoader().getResourceAsStream("jdbc.properties");
Properties info = new Properties();
info.load(is);
String user = info.getProperty("user");
String password = info.getProperty("password");
String url = info.getProperty("url");
String driverClass = info.getProperty("driverClass");
//2. 加载驱动
Class.forName(driverClass);
//3. 获取连接
Connection connection = DriverManager.getConnection(url, user, password);
return connection;
}
/*
* 关闭数据库的连接的资源
*/
public static void closeResource(Connection connection, Statement statement){
if(connection != null) {
try {
connection.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
if(statement != null) {
try {
statement.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
public static void closeResource(Connection connection, Statement statement, ResultSet resultSet){
if(connection != null) {
try {
connection.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
if(statement != null) {
try {
statement.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
if(resultSet != null) {
try {
resultSet.close();
} catch (SQLException throwables) {
throwables.printStackTrace();
}
}
}
}
PreparedStatement执行修改操作(增删改)
public void update(String sql,Object ... args){
Connection conn = null;
PreparedStatement ps = null;
try {
//1.获取数据库的连接
conn = JDBCUtils.getConnection();
//2.获取PreparedStatement的实例 (或:预编译sql语句)
ps = conn.prepareStatement(sql);
//3.填充占位符
for(int i = 0;i < args.length;i++){
ps.setObject(i + 1, args[i]);
}
//4.执行sql语句
ps.execute();
} catch (Exception e) {
e.printStackTrace();
}finally{
//5.关闭资源
JDBCUtils.closeResource(conn, ps);
}
}
4. PreparedStatement实现查询操作
4.1 ResultSet与ResultSetMetaData
4.1.1 Result
- 调用PreparedStatement的executeQuery()方法,查询结果是一个ResultSet对象;
- ResultSet对象以逻辑表格的形式封装了执行数据库操作的结果集;(ResultSet接口有数据库厂商提供实现)
- ResultSet返回的实际结果是一张数据表,有一个指针指向数据表的第一条记录的前面,结构如下图所示:
- 通过ResultSet的next()方法可以移动到下一行,next()的执行逻辑,判断下一行是否有效,返回true移动到下一行(相当于Iterator对象的hasNext()和next()方法的结合体);
4.1.2 ResultSetMetaData
- 用户获取关于ResultSet对象中的类型和属性信息的对象;
- 通过如下方式获得:
ResultSetMetaData meta = resultSet.getMetaData();
ResultSetMetaData的常见方法:
- getColumnName(int column):获取指定列的名称。
- getColumnLabel(int column):获取指定列的别名。
- getColumnCount():返回当前 ResultSet 对象中的列数。
- getColumnTypeName(int column):检索指定列的数据库特定的类型名称。
- getColumnDisplaySize(int column):指示指定列的最大标准宽度,以字符为单位。
- isNullable(int column):指示指定列中的值是否可以为 null。
- isAutoIncrement(int column):指示是否自动为指定列进行编号,这样这些列仍然是只读的。
4.2 ResultSet+ResultSetMetaData执行查询操作
- 查询操作的执行流程如下图所示:
- 查询操作代码如下所示:
public <T> T getInstance(Class<T> clazz, String sql, Object... args) {
Connection conn = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
// 1.获取数据库连接
conn = JDBCUtils.getConnection();
// 2.预编译sql语句,得到PreparedStatement对象
ps = conn.prepareStatement(sql);
// 3.填充占位符
for (int i = 0; i < args.length; i++) {
ps.setObject(i + 1, args[i]);
}
// 4.执行executeQuery(),得到结果集:ResultSet
rs = ps.executeQuery();
// 5.得到结果集的元数据:ResultSetMetaData
ResultSetMetaData rsmd = rs.getMetaData();
// 6.1通过ResultSetMetaData得到columnCount,columnLabel;通过ResultSet得到列值
int columnCount = rsmd.getColumnCount();
if (rs.next()) {
T t = clazz.newInstance();
for (int i = 0; i < columnCount; i++) {// 遍历每一个列
// 获取列值
Object columnVal = rs.getObject(i + 1);
// 获取列的别名:列的别名,使用类的属性名充当
String columnLabel = rsmd.getColumnLabel(i + 1);
// 6.2使用反射,给对象的相应属性赋值
Field field = clazz.getDeclaredField(columnLabel);
field.setAccessible(true);
field.set(t, columnVal);
}
return t;
}
} catch (Exception e) {
e.printStackTrace();
} finally {
// 7.关闭资源
JDBCUtils.closeResource(conn, ps, rs);
}
return null;
}
5. PreparedStatement VS Statement
- PreparedStatement的代码可读性和易维护性高于Statement
- PreparedStatement能提高数据库的执行效率:
- DBServer会对预编译语句提供性能优化,DBserver编译后的执行代码会被缓存下来,下次执行相同的代码不需要进行编译,直接传参即可执行;
- Statement每次自行一个SQL语句需要编译一次;
- PreparedStatement的执行效率高于Statement;
- PreparedStatement可以防止SQL注入;
6. 资源的释放
- 需要释放的资源有:ResultSet、Statement、Connection;
- 数据库连接(Connection)资源非常宝贵,用完需马上释放,使用原则是:尽量晚创建、尽量早释放;
7. JDBC API小结
- 两种思想
- 面向接口编程思想(Driver、Statement)
- ORM思想(Object Relational Mapping)
- 一个数据表对应一个Java Bean 类
- 表中一条记录对应Java类的一个对象
- 表中的一个字段对应Java类的一个属性
- 两种技术
- JDBC结果集的元数据:ResultSetMetaData
- 获取列数:getColumnCount()
- 获取列的别名:getColumnLabel()
- 通过反射,创建指定类的对象,获取指定的属性并赋值
- JDBC结果集的元数据:ResultSetMetaData