PreparedStatement

最新推荐文章于 2023-03-20 12:55:33 发布
最新推荐文章于 2023-03-20 12:55:33 发布
阅读量355 收藏
点赞数

虽然可以利用Statement操作数据库,但是如果在开发之中,Statement是不可能使用的,以增加数据为例,在本表之中姓名、生日、介绍应该由用户自己输入。

范例:问题引出

package cn.mldn.demo;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.Statement;

public class TestDemo {

    private static final String DBDRIVER = "oracle.jdbc.driver.OracleDriver";

    private static final String DBURL = "jdbc:oracle:thin:@localhost:1521:mldn";

    private static final String DBUSER = "scott";

    private static final String PASSWORD = "tiger";

    public static void main(String[] args) throws Exception {

        String name = "Mr'SMITH" ;

        String birthday = "2012-12-25" ;

        String note = "荒唐的世界末日" ;

        Connection conn = null; // 每一个Connection对象都表示一个连接

        Statement stmt = null ; // 定义数据库操作对象

        Class.forName(DBDRIVER); // 加载数据库驱动程序

        conn = DriverManager.getConnection(DBURLDBUSERPASSWORD); // 连接数据库

        stmt = conn.createStatement() ; // 创建Statement对象

        // 如果在编写SQL过程之中出现换行,请一定要保证前后各加一个空格

        String sql = " INSERT INTO member(mid,name,birthday,note) "

                + " VALUES (myseq.nextval,'"+name+"', "

                + " TO_DATE('"+birthday+"','yyyy-mm-dd'),'"+note+"') " ;

        System.out.println(sql);

        int len = stmt.executeUpdate(sql) ; // 执行SQL

        System.out.println("更新行数:" + len);

        conn.close() ;

    }

}

INSERT INTO member(mid,name,birthday,note)  VALUES (myseq.nextval,'Mr'SMITH', TO_DATE('2012-12-25','yyyy-mm-dd'),'荒唐的世界末日')

Exception in thread "main" java.sql.SQLSyntaxErrorException: ORA-00917: 缺失逗号

         此时的程序中由于SQL需要拼凑的原因,那么用户一旦输入了一些敏感的字符,就有可能造成错误,严重的就有可能出现严重的安全漏洞,所以就得出结论:拼凑的SQL不能用。

         在实际的开发之中永恒不会有人去使用Statement,而都使用Statement的子接口:PreparedStatement(预处理)。提升操作的性能。那么现在如果要使用PreparedStatement接口,则就必须通过Connection接口中的新方法实例化对象:

                   · 方法:public PreparedStatement prepareStatement(String sql) throws SQLException ;

         当取得了PreparedStatement接口对象之后,就可以利用新的方法操作:

                   · 更新操作:public int executeUpdate() throws SQLException;

                   · 查询操作:public ResultSet executeQuery() throws SQLException。

         而最为重要的是,在创建PreparedStatement的时候所需要设置的内容都要通过一个占位符“?”表示,而在执行更新和查询之前,需要使用一系列的setXxx()方法设置“?”的数据。

         但是在进行setDate()方法操作的时候需要注意一点:操作的是java.sql.Date,而不是java.util.Date。java.sql.Date是java.util.Date的子类,而在java.util.Date下一共有三个子类,而且这三个子类都是保存在java.sql包之中:Date(保存日期)、Time(保存时间)、TimeStamp(时间戳,日期 + 时间)。

范例:实现数据增加

package cn.mldn.demo;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.util.Date;

public class TestDemo {

    private static final String DBDRIVER = "oracle.jdbc.driver.OracleDriver";

    private static final String DBURL = "jdbc:oracle:thin:@localhost:1521:mldn";

    private static final String DBUSER = "scott";

    private static final String PASSWORD = "tiger";

    public static void main(String[] args) throws Exception {

        String name = "Mr'SMITH" ;

        Date birthday = new Date() ;

        String note = "荒唐的世界末日" ;

        Connection conn = null; // 每一个Connection对象都表示一个连接

        PreparedStatement pstmt = null ;    // 定义数据库操作对象

        Class.forName(DBDRIVER); // 加载数据库驱动程序

        conn = DriverManager.getConnection(DBURLDBUSERPASSWORD); // 连接数据库

        // 如果在编写SQL过程之中出现换行,请一定要保证前后各加一个空格

        String sql = " INSERT INTO member(mid,name,birthday,note) "

                + " VALUES (myseq.nextval,?,?,?) " ;

        pstmt = conn.prepareStatement(sql) ;    // 创建PreparedStatement接口对象

        pstmt.setString(1, name);

        pstmt.setDate(2, new java.sql.Date(birthday.getTime()));

        pstmt.setString(3, note);

        int len = pstmt.executeUpdate() ;   // 执行SQL

        System.out.println("更新行数:" + len);

        conn.close() ;

    }

}

         在开发之中为了保证更新的质量,所有的操作一定使用的是PreparedStatement,以上做的只是一个增加(修改和删除也一样),而重点在于下面的查询操作上。

范例:查询全部数据

package cn.mldn.demo;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.util.Date;

public class TestDemo {

    private static final String DBDRIVER = "oracle.jdbc.driver.OracleDriver";

    private static final String DBURL = "jdbc:oracle:thin:@localhost:1521:mldn";

    private static final String DBUSER = "scott";

    private static final String PASSWORD = "tiger";

    public static void main(String[] args) throws Exception {

        Connection conn = null; // 每一个Connection对象都表示一个连接

        PreparedStatement pstmt = null ;    // 定义数据库操作对象

        Class.forName(DBDRIVER); // 加载数据库驱动程序

        conn = DriverManager.getConnection(DBURLDBUSERPASSWORD); // 连接数据库

        // 如果在编写SQL过程之中出现换行,请一定要保证前后各加一个空格

        String sql = " SELECT mid,name,birthday,note FROM member " ;

        pstmt = conn.prepareStatement(sql) ;

        ResultSet rs = pstmt.executeQuery() ;

        while (rs.next()) {

            int mid = rs.getInt(1) ;

            String name = rs.getString(2) ;

            Date birthday = rs.getDate(3) ;

            String note = rs.getString(4) ;

            System.out.println(mid + "," + name + "," + birthday + "," + note);

        }

        conn.close() ;

    }

}

范例:根据编号查询,查询指定编号的数据,此时只会返回单行多列数据。

package cn.mldn.demo;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.util.Date;

public class TestDemo {

    private static final String DBDRIVER = "oracle.jdbc.driver.OracleDriver";

    private static final String DBURL = "jdbc:oracle:thin:@localhost:1521:mldn";

    private static final String DBUSER = "scott";

    private static final String PASSWORD = "tiger";

    public static void main(String[] args) throws Exception {

        int mid = 15 ;  // 查询数据

        Connection conn = null; // 每一个Connection对象都表示一个连接

        PreparedStatement pstmt = null ;    // 定义数据库操作对象

        Class.forName(DBDRIVER); // 加载数据库驱动程序

        conn = DriverManager.getConnection(DBURLDBUSERPASSWORD); // 连接数据库

        // 如果在编写SQL过程之中出现换行,请一定要保证前后各加一个空格

        String sql = " SELECT mid,name,birthday,note "

                + " FROM member WHERE mid=?" ;

        pstmt = conn.prepareStatement(sql) ;

        pstmt.setInt(1, mid);

        ResultSet rs = pstmt.executeQuery() ;

        if (rs.next()) {

            mid = rs.getInt(1) ;

            String name = rs.getString(2) ;

            Date birthday = rs.getDate(3) ;

            String note = rs.getString(4) ;

            System.out.println(mid + "," + name + "," + birthday + "," + note);

        } else {

            System.out.println("没有数据返回!");

        }

        conn.close() ;

    }

}

范例:模糊查询

package cn.mldn.demo;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.util.Date;

public class TestDemo {

    private static final String DBDRIVER = "oracle.jdbc.driver.OracleDriver";

    private static final String DBURL = "jdbc:oracle:thin:@localhost:1521:mldn";

    private static final String DBUSER = "scott";

    private static final String PASSWORD = "tiger";

    public static void main(String[] args) throws Exception {

        String keyWord = "谢" ;

        Connection conn = null; // 每一个Connection对象都表示一个连接

        PreparedStatement pstmt = null ;    // 定义数据库操作对象

        Class.forName(DBDRIVER); // 加载数据库驱动程序

        conn = DriverManager.getConnection(DBURLDBUSERPASSWORD); // 连接数据库

        // 如果在编写SQL过程之中出现换行,请一定要保证前后各加一个空格

        String sql = " SELECT mid,name,birthday,note "

                + " FROM member WHERE name LIKE ?" ;

        pstmt = conn.prepareStatement(sql) ;

        pstmt.setString(1, "%" + keyWord + "%");    // 在此写%

        ResultSet rs = pstmt.executeQuery() ;

        while (rs.next()) {

            int mid = rs.getInt(1) ;

            String name = rs.getString(2) ;

            Date birthday = rs.getDate(3) ;

            String note = rs.getString(4) ;

            System.out.println(mid + "," + name + "," + birthday + "," + note);

        }

        conn.close() ;

    }

}

         如果在执行模糊查询的时候不设置任何的关键字,表示查询全部。

范例:分页显示

package cn.mldn.demo;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

import java.util.Date;

public class TestDemo {

    private static final String DBDRIVER = "oracle.jdbc.driver.OracleDriver";

    private static final String DBURL = "jdbc:oracle:thin:@localhost:1521:mldn";

    private static final String DBUSER = "scott";

    private static final String PASSWORD = "tiger";

    public static void main(String[] args) throws Exception {

        int currentPage = 2;

        int lineSize = 5;

        String keyWord = "";

        Connection conn = null; // 每一个Connection对象都表示一个连接

        PreparedStatement pstmt = null; // 定义数据库操作对象

        Class.forName(DBDRIVER); // 加载数据库驱动程序

        conn = DriverManager.getConnection(DBURLDBUSERPASSWORD); // 连接数据库

        // 如果在编写SQL过程之中出现换行,请一定要保证前后各加一个空格

        String sql = "SELECT * FROM ("

                + " SELECT mid,name,birthday,note,ROWNUM rn "

                + " FROM member WHERE name LIKE ? AND ROWNUM<=?) temp "

                + " WHERE temp.rn>? ";

        pstmt = conn.prepareStatement(sql);

        pstmt.setString(1, "%" + keyWord + "%"); // 在此写%

        pstmt.setInt(2, currentPage * lineSize);

        pstmt.setInt(3, (currentPage - 1) * lineSize);

        ResultSet rs = pstmt.executeQuery();

        while (rs.next()) {

            int mid = rs.getInt(1);

            String name = rs.getString(2);

            Date birthday = rs.getDate(3);

            String note = rs.getString(4);

            System.out.println(mid + "," + name + "," + birthday + "," + note);

        }

        conn.close();

    }

}

范例:统计数据行

package cn.mldn.demo;

import java.sql.Connection;

import java.sql.DriverManager;

import java.sql.PreparedStatement;

import java.sql.ResultSet;

public class TestDemo {

    private static final String DBDRIVER = "oracle.jdbc.driver.OracleDriver";

    private static final String DBURL = "jdbc:oracle:thin:@localhost:1521:mldn";

    private static final String DBUSER = "scott";

    private static final String PASSWORD = "tiger";

    public static void main(String[] args) throws Exception {

        String keyWord = "";

        Connection conn = null; // 每一个Connection对象都表示一个连接

        PreparedStatement pstmt = null; // 定义数据库操作对象

        Class.forName(DBDRIVER); // 加载数据库驱动程序

        conn = DriverManager.getConnection(DBURLDBUSERPASSWORD); // 连接数据库

        // 如果在编写SQL过程之中出现换行,请一定要保证前后各加一个空格

        String sql = "SELECT COUNT(mid) FROM member WHERE name LIKE ?";

        pstmt = conn.prepareStatement(sql);

        pstmt.setString(1, "%" + keyWord + "%"); // 在此写%

        ResultSet rs = pstmt.executeQuery();

        if (rs.next()) {    // 永恒有数据返回

            System.out.println(rs.getInt(1));

        }

        conn.close();

    }

}

         以上所给出的几个基本的数据库操作,一定要拿下,明天就要用。

zhangsunxiaobai
关注
PreparedStatement详细用法
11-22
PreparedStatement详细用法
使用PreparedStatement访问数据库
12-14
在Java的数据库编程中,`PreparedStatement`是Java.sql包下的一个重要接口,它是`Statement`接口的子接口。这个接口主要用于处理包含动态参数的SQL语句,以提高性能和安全性。`PreparedStatement`的主要特点是预编译...
java的PreparedStatement分页问题
u014271180的博客
10-27 2093
今天写一个接口遇到了关于取到的数据分页问题百度一圈最后选择了PreparedStatement的分页 贴代码 private List<Map<String,Object>> Pagination(String sql, int pageNo){ final String sqlBuilder = sql; final int page_size = Pagi
练习3:使用PreparedStatement插入宠物信息.zip
08-27
在Java编程中,PreparedStatement是Java SQL API中的一个接口,它是Statement接口的子接口。这个练习主要涉及如何使用PreparedStatement来插入宠物信息到数据库中。PreparedStatement的主要优势在于它的预编译能力和...
如何获得PreparedStatement最终执行的sql语句
03-24
在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它用于预编译SQL语句,提高了数据库操作的效率和安全性。当我们处理大量重复的SQL操作时,使用`PreparedStatement`可以避免SQL注入等问题,同时提升...
PreparedStatement接口
08-06
NULL 博文链接:https://chaoyi.iteye.com/blog/2088080
JSP中的PreparedStatement对象操作数据库的使用教程
10-22
为了高效且安全地与数据库进行交互,Java提供了一套成熟的API,其中PreparedStatement对象便是核心组件之一。PreparedStatement继承自Statement接口,但它对数据库操作进行了更高级的封装,提供了预编译语句的能力。...
PreparedStatement学习笔记
Lilyの博客 ٩(❛ัᴗ❛ั)
02-27 1000
preparedstatement,主要有三个好处: 1、预编译SQL语句,性能更好。 2、无须拼接SQL语句,不麻烦,不易出错,有利于编程和后期维护。 3、可以防止sql注入,安全性更好。
JDBC中PreparedStatement详解及应用场景介绍
最新发布
weixin_62079735的博客
03-20 6908
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
Statement 和 PreparedStatement之间的关系和区别
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 2932
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
Java PreparedStatement操作
bingocoder的博客
06-14 1677
    连接数据库执行SQL语句,最开始知道的是statement接口,通过下面的方式:String sql = "select id,stu_id,name from student where id = 1"; Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery(sql);    看李兴华老师的Ja...
PreparedStatement 简介
u013738122的博客
11-25 1万+
PreparedStatement 使用示例 stringsql = &quot;select * from people p where p.id = ? and p.name = ?&quot;; preparedstatement ps = connection.preparestatement(sql); //setxxx() 方法的第一个参数表示 ? 所在的位置,从1开始计算,第二个参数表示对应的值 ps....
java中PreparedStatementStatement详细讲解
热门推荐
程宇寒
03-05 13万+
大家都知道PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,那么大家知道为什么PreparedStatement对象可以防止sql注入 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值