JDBC之使用Statement,PreparedStatement,ResultSet

最新推荐文章于 2019-12-21 22:51:06 发布
最新推荐文章于 2019-12-21 22:51:06 发布
阅读量147 收藏
点赞数
原文链接:https://my.oschina.net/wangsifangyuan/blog/682243
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

1. 创建一个获取Connection对象和关闭资源的工具类

  在对数据库进行CRUD(①查询数据、②数据插入、③数据修改、④数据删除)操作的时候,每一个操作都需要获取Connection对象,所以我们就可以把获取Connection对象的过程抽离到一个工具类当中,下面是具体代码。

public final class JdbcUtil {
    
    private JdbcUtil() {
    }

    private static String url = "jdbc:oracle:thin:@127.0.0.1:1521:ORCL";
    private static String user = "scott";
    private static String password = "tiger";

    // 通过静态代码块加载驱动类
    static {
        try {
            Class.forName("oracle.jdbc.driver.OracleDriver");
        }
        catch (ClassNotFoundException e) {
            throw new ExceptionInInitializerError("加载驱动类出错!!");
        }
    }

    // 获取连接对象
    public static Connection getConnection() throws Exception {
        Connection connection = null;
        connection = DriverManager.getConnection(url, user, password);
        return connection;
    }

    // 关闭资源
    public static void close(Connection connection, ResultSet rs, Statement statement) {
        if (rs != null) {
            try {
                rs.close();
            }
            catch (SQLException e) {
                e.printStackTrace();
            }
            finally {
                if (statement != null) {
                    try {
                        statement.close();
                    }
                    catch (SQLException e) {
                        e.printStackTrace();
                    }
                    finally {
                        if (connection != null) {
                            try {
                                connection.close();
                            }
                            catch (SQLException e) {
                                e.printStackTrace();
                            }
                        }
                    }
                }
            }
        }
    }

}

  我把url,username,password放在了类中,也可以将这些配置信息放入到配置文件中,一般的做法是放入到配置文件当中,此处就简单些。将加载驱动类的方法放入到static静态代码块当中,当调用getConnection静态方法的时候,static静态代码块会先执行,即会先加载驱动类。close()方法就是关闭Statement,Connection,ResultSet对象的资源。

2.  使用Statement对象ResultSet对象进行简单CRUD(增删改查)操作

  首先看一下Statement接口的文档说明:

  用于执行静态SQL语句并返回它所生成的结果的对象。

  在默认情况下,同一时间每个Statement对象在只能打开一个ResultSet对象。因此,如果读取一个ResultSet对象与读取另一个交叉,则这两个对象必须是由不同的Statement对象生成的。如果存在某个语句的打开的当前ResultSet对象,则Statement接口中的所有执行方法都会隐式关闭它。

  Statement的主要作用就是执行SQL语句并且返回它所生产的结果对象。Statement对象是通过Connection对象进行获取的,通过Connection.createStatement()方法获取Statement对象。通过执行Statement对象的executeQuery()方法进行查询SQL,该语句返回单个ResultSet 对象。

  下面是简单的代码示例:

public void read(String id, String password) {

    Connection connection = null; // 初始化一个连接对象
    Statement statement = null;   // 初始化一个语句对象
    ResultSet resultSet = null;   // 初始化一个结果集对象

    try {
        connection = JdbcUtil.getConnection();
        statement = connection.createStatement();
        resultSet = statement.executeQuery("select id, name from student where id = '" + id + "' and password = '" + password + "'");
            
        while (resultSet.next()) {
            System.out.println("id = " + resultSet.getInt("id") + ", name = " + resultSet.getString("name"));
        }

    } catch(SQLException e) {
        e.printStackTrace();
    } catch (Exception e) {
        e.printStackTrace();
    } finally {
        JdbcUtil.close(connection, resultSet, statement);
    }

}

  模拟了一个简单的查询用户信息的SQL,传入id和password对数据库进行查询,然后输出。SQL语句是通过传入的值拼接而成,所以这样就很容易被SQL注入。当我传入的password值为' or 1 = 1 or '的时候打印出来SQL语句如下:

  select id, name from student where id = 'rcx' and password = '' or 1 = 1 or ''

  因此就可以查询到用户的信息,引起不安全的漏洞。一般带参数的查询都需要使用PreparedStatement对象

3.  使用PreparedStatement对象(即预处理语句对象)ResultSet对象进行简单CRUD(增删改查)操作

  首先看一下PreparedStatement接口,它继承自Statement接口。PreparedStatement对象(即预处理语句对象)表示预编译的SQL语句。SQL语句被预编译并存储在PreparedStatement对象中。然后可以使用此对象多次高效地执行该SQL语句。预处理语句对象是Connection对象(即连接对象)通过调用prepareStatement(sql)方法来获取的,传入的参数是还未预编译的SQL语句(即原始的SQL语句),但是该SQL语句的特殊之处在于参数部分是用?来代替。2中的SQL语句的例子通过PreparedStatement类实现的代码如下:

public void read1(String id, String password) {

    Connection connection = null;
    PreparedStatement pstmt = null;
    ResultSet resultSet = null;

    try {

        connection = JdbcUtil.getConnection();

        // 下面这条SQL语句是预编译语句类的核心,该SQL语句不是通过传入的值拼接而成。
        String sql = "select id, name from student where id = ? and password = ?";
        pstmt = connection.prepareStatement(sql);

        pstmt.setString(1, id);
        pstmt.setString(2, password);
            
        // 该方法是不带参数的,否则执行的不是预处理(即预编译)的SQL语句
        resultSet = pstmt.executeQuery();
            
        while (resultSet.next()) {
            System.out.println("id = " + resultSet.getInt("id") + ", name = " + resultSet.getString("name"));
        }

    } catch(SQLException e) {
        e.printStackTrace();
    } catch (Exception e) {
        e.printStackTrace();
    } finally {
        JdbcUtil.close(connection, resultSet, pstmt);
    }

}

  因为PreparedStatement对象中包含的是预处理SQL语句,所以可以有效地防止SQL注入的问题,同时还可以提高一些效率。

  注意:

  resultSet = pstmt.executeQuery();

  由于PreparedStatement接口继承自Statement接口,所以也有executeQuery(sql)带参数的方法,如果这样写的话那么执行的就是父类接口当中的方法了,则执行的不是预处理的SQL语句。

4.  一些其他的方法

  由于执行数据查询的语句是通过调用ResultSet对象的executeQuery()方法来实现的,在插入数据更新数据删除数据操作是通过调用executeUpdate(SQL)方法来实现的。所以执行给定的SQL语句,该语句可能为INSERT(插入数据)、UPDATE(修改数据)或DELETE(删除数据)语句,或者不返回任何内容的SQL语句(如SQL DDL语句)。

  ResultSet对象的next()方法:将光标从当前位置向前移一行。ResultSet光标最初位于第一行之前;第一次调用next()方法使第一行成为当前行;第二次调用使第二行成为当前行,依此类推。

完整的CRUD代码:

public class CRUD {

    public static void main(String[] args) throws SQLException {
        read();        
        // create();
        // update();
        // delete();
    }

    // 数据查询
    static void read() throws SQLException {

        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            // 2.建立连接,获取连接对象
            conn = JdbcUtils.getConnection();
            // conn = JdbcUtilsSing.getInstance().getConnection();
            // 3.创建语句,此处即SQL语句
            st = conn.createStatement();

            // 4.执行语句,数据查询语句
            rs = st.executeQuery("select id, name, money, birthday from user");

            // 5.处理结果
            while (rs.next()) {
                System.out.println(rs.getObject("id") + "\t"
                        + rs.getObject("name") + "\t"
                        + rs.getObject("birthday") + "\t"
                        + rs.getObject("money"));
            }
        } finally {
            JdbcUtils.free(rs, st, conn);
        }
    }
        
    // 插入数据
    static void create() throws SQLException {
        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;
        try {

            // 2.建立连接
            conn = JdbcUtils.getConnection();
            // conn = JdbcUtilsSing.getInstance().getConnection();
            // 3.创建语句
            st = conn.createStatement();

            String sql = "insert into user(name,birthday, money) values ('name1', '1987-01-01', 400) ";

            // 4.执行语句
            int i = st.executeUpdate(sql);

            System.out.println("i=" + i);

        } finally {
            JdbcUtils.free(rs, st, conn);
        }
    }

    // 修改数据
    static void update() throws SQLException {

        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {
            // 2.建立连接
            conn = JdbcUtils.getConnection();
            // conn = JdbcUtilsSing.getInstance().getConnection();
            // 3.创建语句
            st = conn.createStatement();

            String sql = "update user set money=money+10 ";

            // 4.执行语句
            int i = st.executeUpdate(sql);

            System.out.println("i=" + i);
        } finally {
            JdbcUtils.free(rs, st, conn);
        }
    }

    // 删除数据
    static void delete() throws SQLException {

        Connection conn = null;
        Statement st = null;
        ResultSet rs = null;

        try {

            // 2.建立连接
            conn = JdbcUtils.getConnection();
            // conn = JdbcUtilsSing.getInstance().getConnection();
            // 3.创建语句
            st = conn.createStatement();

            String sql = "delete from user where id>4";

            // 4.执行语句
            int i = st.executeUpdate(sql);

            System.out.println("i=" + i);

        } finally {
            JdbcUtils.free(rs, st, conn);
        }

    }

}

 

转载于:https://my.oschina.net/wangsifangyuan/blog/682243

weixin_33682790
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 三级考试_java三级考试理论题
weixin_36235398的博客
02-12 2692
Java试卷一、单项选择题:1. 试题: 在WINDOWS环境下,ODBC在__A____中设置A. 控制面板B. 注册表C. 浏览器D. 写字板2. 阅读以下描述: C*.jspfalseJSP页面上的代码如下:10 x 5 = ${10 * 5}2 * 3 = 则以下正确的是?A. JSP页面转换时发生错误B. JSP页面转换成功,但没有任何响应内容C. ”10 x 5 = 50” ...
JDBC (Java Database Connectivity)开发步骤
qq_49214533的博客
09-11 133
JDBC 开发步骤 1 注册驱动 使用 Class.forName(“com.mysql.jdbc.Driver”);手动加载字节码文件到 JVM 中。 Class.forName("com.mysql.jdbc.Driver");//加载驱动 2 连接数据库 通过 DriverManager.getConnection(url,user,password) 获取数据库连接对象 URL:jdbc:mysql://localhost:3306/database username:root pas
MySQL数据库
plumplum6的博客
04-14 127
主键:索引。就像书的目录页。字符通常用 varchar1.创建表格(脚本语言) USE warehouse; // warehouse数据库名;使用一个数据库(把下面代码创建的表格存进warehouse这个数据库中) CREATE TABLE tabulation(  //tabulation表格名; 创建一个表格   name VARCHAR(20) ,//name列名;VARCHAR数据类型;...
JDBC使用(二):PreparedStatement接口;ResultSet接口(获取结果集);例题:SQL注入...
ak364877的博客
01-04 324
ResultSet接口:类似于一个临时表,用来暂时存放数据库查询操作所获得的结果集。 getInt(), getFloat(), getDate(), getBoolean(), getString(), getObject(), next(),:将指针向下移一行。 例一:(输入用户名和密码验证是否登录成功):用Statement接口会导致,SQL注入! 下图是代码: p...
JDBC应用技术(四)
最慢的步伐不是跬步,而是徘徊;最快的脚步不是冲刺,而是坚持
12-21 6881
单选题 1.下列哪种属于读未提交( ) A、serializable B、repeatable read C、read committed D、read uncommitted 正确答案:D 2.下列哪种属于可重复读( ) A、serializable B、repe...
详解Java的JDBCStatement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
java中PreparedStatementStatement详细讲解
08-25
因此,在生产环境上,我们应该使用 PreparedStatement 对象来防止 SQL 注入攻击,而不能使用 Statement 对象。 下面是几个示例代码,演示了 PreparedStatement 对象如何防止 SQL 注入攻击: ```java // 例子 1 ...
Java使用PreparedStatement接口及ResultSet结果集的方法示例
08-27
我们可以这样使用`PreparedStatement`和`ResultSet`来处理查询结果: ```java public static List<CompMember> getAllMembers() throws Exception { Connection conn = null; PreparedStatement pstmt = null; ...
JDBC之PreparedStatement类中预编译的综合应用解析
09-05
PreparedStatement是Java JDBC中用于执行预编译SQL语句的接口,它是Statement的子接口。预编译的SQL语句可以提高数据库操作的性能和安全性。在数据库系统中,预编译意味着SQL语句在首次执行前已经过编译,形成一个...
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
使用JDBC和PrepareStatement时,别忘了关闭资源,例如ResultSetStatement和Connection,以避免内存泄漏。可以使用try-with-resources语句来确保资源的正确关闭。 这个资源提供的示例代码将帮助开发者深入理解...
ResultSet rs = stmt.executeQuery(sql); 返回值问题判断
b305723的专栏
10-30 4834
JAVA ResultSetrs=stmt.executeQuery(sql);//查询返回的结果集不管是否查到,rs都不是null,那么问题是怎么判断查找不到来执行一个提示“账号或者密码错误”呢? rs.next()==null ResultSet rs = stmt.executeQuery(sql); //查询返回的结果集 ...
ResultSet结果集的使用
热门推荐
Above_my_point的博客
12-29 5万+
一、ResultSet结果集的简介    查询数据库时,返回的是一个二维的结果集,我们需要用到ResultSet来遍历结果集,获取每一行的数据。二、使用ResultSet遍历查询结果boolean next() 将光标从当前位置向前移一行。String  getString(int columnIndex)  以java编程语言中String的形式获取此ResultSet对象的当前行中指定列的值S
resultSet没注意到的一点问题
kirkcicent的专栏
11-20 740
近期在赶一个东西,上半年分的任务,一直没催就一直拖着。最近催的紧,我也跟着无限蛋疼。其中有一个蛋疼的就是RS。 通过ResultSet rs = pstmt.executeQuery();得到了rs后,rs此时此刻指向的是第一条记录的前面,然后while (rs.next()) {}遍历所有。若是你用了rs.last()或者rs.first(),那么rs就指向了一条确切的记录。你要是没有取当前指
JDBC之——ResultSet结果集
weixin_39941298的博客
07-18 534
一、ResultSet结果集的引入 当我们查询数据库时,返回的是一个二维的结果集,我们这时候需要使用ResultSet来遍历结果集,获取每一行的数据。   二、使用ResultSet遍历查询结果 boolean next()将光标从当前位置向前移一行。 String getString(int columnInex) 以Java编程语言中String的形式获取此ResultSet对象的当...
ResultSet的一些操作
leeezm的博客
08-15 1002
什么是ResultSetJDBC通过ResultSet来对查询结果进行封装,ResultSet对象包含一个由查询语句返回的一个表, 这个表包含所有的查询结果。 说明我们一般只使用next()方法移动指针,遍历结果集,那么我们来看看其他操作吧。 示例问题描述 小明想找出年龄小于25岁的记录,并将他们的年龄都改为18岁。解决方案 找出小于25岁的记录比较简单,那如何更改他们的年龄呢?
ResultSet rs=ps.executeQuery();
小白的成长之旅
07-06 2万+
实现登录注册功能测试用的主函数无论怎么输入都是已被注册输出一看发现rs不为空,很奇怪,因为数据库里确实没有这个用户名,明明之前赋了null怎么还会有值呢?后来查到ResultSet不会为null,只是里面的元素为null改为rs.next()就解决了另外一个调试上的错误是ps.setString(1, name);// 如果更新成功 则返回 1给 count 否则是 0一开始以为是类似于数组下标的...
statementresultset的对应关系
hanghangde的博客
12-06 4431
问题描述: 1,Connection是Statement的工厂,一个Connection可以生产多个Statement。 2,StatementResultSet的工厂,一个Statement却只能对应一个ResultSet(它们是一一对应的关系)。 所以在一段程序里要用多个ResultSet的时候,必须再Connection中获得多个Statement,然后一个Statement对应
JSP与JDBC数据库操作详解:PreparedStatementResultSet
讲解了Statement、PreparedStatementResultSetResultSetMetaData和DatabaseMetaData等接口的功能,同时涵盖了JSP的基础知识,包括JSP注释、表达式、程序段和声明。还介绍了数据库连接的主要步骤和数据库操作,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值