PreparedStatement:
- 是Statement的子接口,可以传入带占位符的SQL语句,并且提供了补充占位符变量的方法。
- 可以有效的禁止SQL注入,是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令,从而利用系统的SQL引擎完成恶意行为的做法。
- 对于Java而言,要防范SQL注入,只要用PreparedStatement取代Statement就可以了。
原来的:
String sql = "INSERT INTO examstudenty VALUES (" + student.getFlowId() + ","
+ student.getType() + ",'" + student.getIdCard() + "','"
+ student.getExamCard()
+ "''”" + student.getStudentName() + "''" +
student.getLocation() + "'," + student.getGrade() + ")";
现在的:
public static void addNewStudent(Student student) throws Exception {
Connection connection =JdbcTool.getConnection();
String sql ="insert into customers(name,email,birth)" +"values(?,?,?,)";
//1.创建PreparedStatement
PreparedStatement preparedStatement = connection.prepareStatement(sql);
//2.调用PreparedStatement 的setXxx(int index,Object val)设置占位符的值
preparedStatement.setString(1,"at");
preparedStatement.setString(2,"1223@qq.com");
preparedStatement.setDate(3,new Date(new java.util.Date().getTime()));
//3.执行sql语句:executequery()或executeUpdate().注意:执行时不再需要传入SQL语句
preparedStatement.executeUpdate();
JdbcTool.release(null,preparedStatement,connection);
ResultSetMetaDate:
- 如果只有一个结果集,但不知道该结果集中有多少列,列的名字是什么
- 编写通用的查询方法时需要使用
public <T> T get(Class<T> clazz,String sql,Object ... args)
- 用于描述ReultSet对象
使用步骤:1>得到ResultSetMetaDate对象,调用ResultSet的getMetaData()方法
ResultSetMetaData rsmd = resultSet.getMetaData();
2>ResultSetMetaData有那些好用的方法
int getColumnCount():结果集中包含那些列
String getColumnLabel(int column):获取指定列的别名,其中索引从1开始
//获取结果集的每一列的别名
for(int i=0;i<rsmd.getColumnCount();i++){
String columnLabel = remd.getColumnLabel(i+1);
}
//关于ResultSetMetaData的示例代码
ResultSetMetaData rsmd = resultSet.getMetaData();
while(resultSet.next()){
for(int i=0;i<rsmd.getColumnCount();i++){
String columnLabel = remd.getColumnLabel(i+1);
System.ou.println(columnLabel);
//Object columnValue = resultSet.getObject(columnLabel);
//values.put(columnLabel.columnValue);
}
}
查询的通用方法:可以根据传入的SQL,Class对象返回对应的记录的对象
clazz:描述对象的类型
sql:SQL语句,可能带有占位符
args:填充占位符的可变参数
public <T> T get(Class<T> clazz,String sql,Object ... args){
String sql = "select id,name,email,birth"+"from customers where id=?";
Customer customer = get(Customer.class,sql,5);
System.out.println(customer);
sql="select flow_id flowId,type,id_card idCard,"+"exam_card examCard,student_name studentName,"+"location,grade"+"from examstudent where floe_id = ?";
Student stu = get(Student.class,sql,5);
System.out.println(stu);
}