JDBC快速入门(ResultSet、PreparedStatement、JDBC执行流程)

已于 2023-06-07 20:24:40 修改
阅读量1.2k 收藏 5
点赞数 2
分类专栏: JDBC JavaWeb 文章标签: mysql JDBC
于 2022-04-26 15:30:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyb18507175502/article/details/124426815
版权

文章目录

ResultSet

ResultSet(结果集对象)作用:

  • 封装了SQL查询语句的结果。

而执行了DQL语句后就会返回该对象,对应执行DQL语句的方法如下:

ResultSet  executeQuery(sql):执行DQL 语句,返回 ResultSet 对象

那么我们就需要从 ResultSet 对象中获取我们想要的数据。ResultSet 对象提供了操作查询结果数据的方法,如下:

boolean next()

  • 将光标从当前位置向前移动一行
  • 判断当前行是否为有效行

方法返回值说明:

  • true : 有效航,当前行有数据
  • false : 无效行,当前行没有数据

xxx getXxx(参数):获取数据

  • xxx : 数据类型;如: int getInt(参数) ;String getString(参数)
  • 参数(两种选一个用)
    • int类型的参数:列的编号,从1开始
    • String类型的参数: 列的名称

如下图为执行SQL语句后的结果

在这里插入图片描述

一开始光标指定于第一行前,如图所示红色箭头指向于表头行。当我们调用了 next() 方法后,光标就下移到第一行数据,并且方法返回true,此时就可以通过 getInt("id") 获取当前行id字段的值,也可以通过 getString("name") 获取当前行name字段的值。如果想获取下一行的数据,继续调用 next() 方法,以此类推。

例如:我们获取下表的id,姓名,地址列
在这里插入图片描述
代码实现:

public class ReadJDBC {
    public static void main(String[] args) throws Exception {

        String url = "jdbc:mysql://localhost:3306/sql1?useSSL=false";
        String username = "root";
        String password = "********";
        Connection connection = DriverManager.getConnection(url,username,password);
        String sql = "select * from stu";
        Statement statement = connection.createStatement();
        ResultSet resultSet = statement.executeQuery(sql);
        while (resultSet.next()) {
            System.out.print(resultSet.getInt(1));
            System.out.print(" " + resultSet.getString(2));
            System.out.println(" " + resultSet.getString(5));
        }
        //释放资源
        resultSet.close();
        statement.close();
        connection.close();
    }
}

注意这里要多关闭一个资源,也就是返回的ResultSet的对象

案例

我们现在有一个需求:将每个人的数据封装在Account对象中,并且储存到ArrayList集合中。
代码实现:

public class ReadJDBC {
    public static void main(String[] args) throws Exception {

        String url = "jdbc:mysql://localhost:3306/sql1?useSSL=false";
        String username = "root";
        String password = "***********";
        Connection connection = DriverManager.getConnection(url,username,password);
        String sql = "select * from stu";
        Statement statement = connection.createStatement();
        ResultSet resultSet = statement.executeQuery(sql);
//        while (resultSet.next()) {
//            System.out.print(resultSet.getInt(1));
//            System.out.print(" " + resultSet.getString(2));
//            System.out.println(" " + resultSet.getString(5));
//        }
        ArrayList<Account> accounts = new ArrayList<>();
        while (resultSet.next()) {
            Account account = new Account();
            account.setName(resultSet.getString(2));
            account.setAge(resultSet.getInt(3));
            account.setAddress(resultSet.getString(5));
            accounts.add(account);
        }
        //遍历这个列表
        for (Account account : accounts) {
            System.out.print(account.getName());
            System.out.print(account.getAge());
            System.out.println(account.getAddress());
        }
        //释放资源
        resultSet.close();
        statement.close();
        connection.close();
    }
}
class Account{
    private String name;
    private int age;
    private String address;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

    public String getAddress() {
        return address;
    }

    public void setAddress(String address) {
        this.address = address;
    }
}

PreparedStatement

PreparedStatement是一种预编译的SQL语句。它相比Statement有两个主要优点:

  1. 效率更高。PreparedStatement会在编译时将SQL进行预处理,那么在执行时只需要 简单设置SQL参数的值,并执行就可以了。这避免了每次执行SQL时都要进行编译,所以效率更高。
  2. 安全性更高。使用PreparedStatement可以有效防止SQL注入。因为SQL的参数值是使用程序设置的,而不是直接拼接在SQL语句中的。

PreparedStatement的使用步骤如下:

  1. 创建PreparedStatement对象,其中包含了SQL语句模板。例如:
    String sql = "SELECT * FROM user WHERE name = ? AND age = ?";
PreparedStatement ps = conn.prepareStatement(sql);
  2. 使用setXxx()方法为SQL的参数(?)设置值,例如:
    ps.setString(1, "张三");
ps.setInt(2, 20);
  3. 使用executeQuery()执行查询语句或executeUpdate()执行更新语句。
  4. 获取结果。例如使用rs.next()遍历查询结果集。
  5. 释放资源。用完后调用ps.close()关闭PreparedStatement。

所以,简单来说,PreparedStatement是一种预编译的SQL语句,通过它我们可以更高效、安全的执行SQL语句,它使用SQL语句模板和setXxx()方法设置参数,从而避免SQL注入等问题。在MyBatis等框架中 PreparedStatement 的应用非常广泛。

然后我们还要提一句,什么是预编译?

预编译(PreparedStatement)就是在执行SQL语句前,先将SQL语句发送到数据库编译成数据库内部格式,然后再执行。这与直接执行SQL语句(Statement)的区别在于:

  • Statement每执行一次SQL语句,都要对SQL语句进行编译。
  • PreparedStatement只编译一次SQL语句模板,然后后续只需要设置SQL语句的参数值,再执行就可以。

预编译的主要优点是:

  1. 效率更高。因为只编译一次,所以减少了SQL解析和优化的时间,执行速度更快。
  2. 安全性更高。使用参数而不是直接拼接SQL语句,可以有效防止SQL注入攻击。
  3. 实现更简单。不需要自己去处理SQL注入问题,所以代码更简洁。

举个例子,普通的Statement执行SQL如下:

String sql = "SELECT * FROM user WHERE name = '" + name + "' AND age = " + age; 
stmt.executeQuery(sql);

PreparedStatement执行SQL如下:

String sql = "SELECT * FROM user WHERE name = ? AND age = ?";
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, name);
pstmt.setInt(2, age);
pstmt.executeQuery();

可以看出,使用PreparedStatement我们只需要设置SQL的参数值,而不需要自己拼接SQL语句。

所以,简而言之,预编译就是:

  1. 先将SQL语句发送到数据库进行编译,生成执行计划。
  2. 然后通过设置参数值并执行来多次利用该执行计划,而不需要每次都重新编译SQL语句。
  3. 这样可以提高效率,并避免SQL注入等问题。

综上,预编译为数据库操作提供了很多的便利与安全性,是JDBC编程中极为重要的内容。

作用:预编译SQL语句并执行:预防SQL注入问题

首先我们要知道什么是SQL注入?

代码模拟SQL注入问题

@Test
public void testLogin() throws  Exception {
    //2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
    String url = "jdbc:mysql:///db1?useSSL=false";
    String username = "root";
    String password = "1234";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "sjdljfld";
    String pwd = "' or '1' = '1";
    String sql = "select * from tb_user where username = '"+name+"' and password = '"+pwd+"'";
    // 获取stmt对象
    Statement stmt = conn.createStatement();
    // 执行sql
    ResultSet rs = stmt.executeQuery(sql);
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }

    //7. 释放资源
    rs.close();
    stmt.close();
    conn.close();
}

上面代码是将用户名和密码拼接到sql语句中,拼接后的sql语句如下

select * from tb_user where username = 'sjdljfld' and password = ''or '1' = '1'

从上面语句可以看出条件 username = 'sjdljfld' and password = '' 不管是否满足,而 or 后面的 '1' = '1' 是始终满足的,最终条件是成立的,就可以正常的进行登陆了。

PreparedStatement用法

在这里插入图片描述
我们将上面的代码用PreparedStatement进行改进:

@Test
public void testPreparedStatement() throws  Exception {
    //2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
    String url = "jdbc:mysql:///db1?useSSL=false";
    String username = "root";
    String password = "***********";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "zhangsan";
    String pwd = "' or '1' = '1";

    // 定义sql
    String sql = "select * from tb_user where username = ? and password = ?";
    // 获取pstmt对象
    PreparedStatement pstmt = conn.prepareStatement(sql);
    // 设置?的值
    pstmt.setString(1,name);
    pstmt.setString(2,pwd);
    // 执行sql
    ResultSet rs = pstmt.executeQuery();
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }
    //7. 释放资源
    rs.close();
    pstmt.close();
    conn.close();
}

那么PreparedStatement又是如何解决的呢?它是将特殊字符进行了转义,转义的SQL如下:

select * from tb_user where username = 'sjdljfld' and password = '\'or \'1\' = \'1'

原理

PreparedStatement 好处:

  • 预编译SQL,性能更高
  • 防止SQL注入:将敏感字符进行转义

在这里插入图片描述

Java代码操作数据库流程如图所示:

  • 将sql语句发送到MySQL服务器端

  • MySQL服务端会对sql语句进行如下操作

    • ① 检查SQL语句

      检查SQL语句的语法是否正确。

    • ②编译SQL语句。将SQL语句编译成可执行的函数。

      检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语句将不需要重复执行。这样就提高了性能。

    • ③执行SQL语句

JDBC执行流程

在这里插入图片描述

代码示例:

/** 第一步: 获取连接 */
Connection connection = DriverManager.getConnection(JDBC.URL, JDBC.USERNAME, JDBC.PASSWORD);
/** 第二步: 预编译SQL */
PreparedStatement statement = connection.prepareStatement("select * from  users ");
/** 第三步: 执行查询 */
ResultSet resultSet = statement.executeQuery();
/** 第四步: 读取结果 */
readResultSet(resultSet);
十八岁讨厌编程
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java——JDBC
01-20
1. PreparedStatement 1.1 PreparedStatement插入数据 @Test public void testInsert() { User user = new User(1, lb, 851425); Connection connection = null; PreparedStatement preparedStatement = null; ...
JDBC三大接口Connection、Statement(PreparedStatement)、ResultSet、接口使用(笔记)
ma574621344的博客
07-18 8365
Connection(java.sql包)是获取数据库连接的接口 因为连接数据库需要使用DriverManager.getConnection方法,而此方法的返回值是Connection。 //传入的三个值分别为使用数据的URL、当前数据库的name、当前数据库的密码pwd Connection conn = DriverManager.getConnection("jdbc:mysql://lo...
前面学习了数据库的使用,现在学习JDBC的使用
zcg13767706322的博客
05-30 395
Junit的概念概述 : Junit是Java语言编写的第三方单元测试框架(工具类)作用 : 用来做“单元测试”——针对某个普通方法,可以像main()方法一样独立运行,它专门用于测试某个方法。1.测试方法的权限修饰符一定是public2.测试方法的返回值类型一定是void3.测试方法一定没有参数4.测试方法 的声明之上一定要使用@Test注解@Before:用来修饰方法,该方法会在每一个测试方法执行之前执行一次。@After:用来修饰方法,该方法会在每一个测试方法执行之后执行一次。...
Java 数据库编程2---ResultSet接口,PreparedStatement接口,获取PreparedStatement中编译好的SQL语句
小蓝的博客
07-08 5326
使用SQL中的select语句可以查询出数据库的全部结果,在JDBC的操作中数据库的所有查询记录将使用ResultSet进行接收,并使用ResultSet显示内容。 注意:开发中要限制查询数量 在JDBC的查询操作中,因为是将数据库表中的全部查询结果保存在了ResultSet对象中,实际上也就是保存在了内存中,所以如果查询出来的数据总量太大,占满了内存,系统将会出现问题。 上一篇中的全部数据...
java中PreparedStatement接口及ResultSet结果集
热门推荐
MT2048的博客
07-02 1万+
说明: 1.PreparedStatement接口继承Statement,它的实例包含已编译的SQL语句,执行速度要快于Statement。 2.PreparedStatement继承了Statement的所有功能,三种方法executeUpdate、executeQueryexecute不再需要参数。 3.在JDBC应用中,一般都用PreparedStatement,而不是Stateme
PreparedStatementResultSetResultSetMetaData
新阿巴阿巴
09-23 425
学习JDBC时,使用到这三个类,这里简单的总结一下 1. PreparedStatementStatement的子接口,并且有一个同名的实现类 需要进行关闭资源的处理 相比于Statement接口,此接口更棒 避免了SQL注入的问题 书写 sql 语句时,需要进行字符串拼接的操作,麻烦 、、、、、、 常用方法 1. ResultSet executeQuery() // 执行查询操作,并返回ResultSet对象 2. int executeUpdate() // 执行更新操作 .
JDBCResultSet
qq_46093575的博客
05-16 4943
一、ResultSet[结果集] 1.表示数据库结果集的数据表,通常通过执行查询数据库的语句生成。 2.ResultSet对象保持一个光标指向其当前的数据行,最开始光标在第一行。 3.next方法将光标移动到下一行,由于在ResultSet对象中没有更多行时返回false,可以在while循环中使用循环来遍历结果集。 ...
JDBC学习(四) --- ResultSet结果集
qq_41481367的博客
08-21 1219
ResultSetJDBC中的一个接口,用于表示由数据库执行查询操作后返回的结果集。使用ResultSet接口,可以访问查询结果的当前行,并可以逐行移动结果集,从而让我们能够对结果集中的每行数据进行处理。
【Java 进阶篇】JDBC PreparedStatement 详解
繁依Fanyi的博客
10-03 1357
JDBC 中的一个接口,用于执行预编译的 SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。是 JDBC 中用于执行预编译 SQL 语句的重要接口,它具有高效性、安全性和可维护性的优势。在实际应用中,使用能够有效地防止 SQL 注入攻击,并提高数据库操作的性能。通过本文的介绍,您应该对的基本概念和使用方法有了更清晰的理解。
JDBC中PreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 4902
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
JDBC】------ResultSet(结果集)和常见异常
swy2560666141的博客
12-05 2952
目录分享第二十条励志语句1 接收结果集2 遍历ResultSet结果集中的数据2.1 常用遍历方法3 综合案例3.1 根据列的编号获取数据3.2 根据列的名称获取数据二、JDBC常见异常 JDBC中执行DQL查询语句后,使用ResultSet存放查询到的结果集数据。ResultSet resultSet = statement.executeQuery(String sql); //编写SQL语句 String sql = "SELECT * FROM stu;"; //执行SQL语句
JDBC的常用方法
12-14
在上一篇文章我们讲了一些基本使用JDBC-DBCP-MYBATIS。 1.防止SQL注入 我们在写sql语句时,为了方便可能会进行拼接字符串,这样做的弊端就是可能被sql注入攻击,解决的办法也很简单。 //获取数据库连接 Connection ...
一个jdbc 测试程序代码
01-08
import java.sql.PreparedStatement; import java.sql.ResultSetMetaData; import java.sql.Statement; import java.sql.ResultSet; import java.sql.DriverManager; import java.sql.SQLException; public class ...
Java JDBC.pptx
08-21
掌握JDBC操作数据库的步骤 熟悉JDBC的常用API 了解什么是JDBC DriverManager类、Connection接口、Statement接口 连接mysql数据库方法 PreparedStatement接口 ResultSet接口
JDBC_MVC个人笔记.md
07-19
JDBC/MVC个人笔记: MVC; 了解三个类的作用:Connection,PreparedStatementResultSet; 代码:UserDao.java、DBUtil.java
深入浅出:MySQL与HBase的核心差异及适用场景解析
fudaihb的博客
04-25 1959
MySQL和HBase都是当前广泛应用的数据库系统,但它们的设计哲学、应用场景和性能特点有很大的差异。MySQL是一个关系型数据库管理系统(RDBMS),起源于1995年,由瑞典MySQL AB公司开发,后被Sun Microsystems收购,再后来被Oracle收购。它基于SQL(Structured Query Language)进行数据管理,具有成熟、稳定、易于学习和使用的特点,得到了广大企业和开发者的喜爱。而HBase则是一个开源的、分布式的、非关系型的数据库,设计用于处理大规模数据集。
88张表-Mysql
2301_80151755的博客
04-25 227
【代码】88张表-Mysql
Mysql_数据库事务
weixin_69252724的博客
04-26 1174
事务就是由单独单元的一个或多个sql语句组成,在这个单元中,每个sql语句都是相互依赖的。而整个单独单元是作为一个不可分割的整体存在,类似于化学当中的原子(一种不可分割的最小单位)。往通俗的讲就是,事务就是一个整体,里面的内容要么都执行成功,要么都不成功。不可能存在部分执行成功而部分执行不成功的情况。就是说如果单元中某条sql语句一旦执行失败或者产生错误,那么整个单元将会回滚(返回最初状态)。
MySQL —— 表的基本操作
最新发布
学习C++的小陈同学
04-30 180
本篇整理了和表结构相关的各种基本操作(增删查改等等)
jdbc执行多条sql查询语句 PreparedStatement
08-31
### 回答1: 在 JDBC 中,可以使用 PreparedStatement 对象同时执行多条 SQL 查询语句。具体步骤如下: 1. 创建 PreparedStatement 对象。 2. 编写多条 SQL 查询语句,每条语句用分号(;)隔开,并将它们组合成一个字符串。 3. 使用 PreparedStatement 对象的 execute() 或 executeQuery() 方法执行查询语句。 4. 处理查询结果。 下面是一个示例代码: ```java // 假设我们要查询两个表的数据 String sql = "SELECT * FROM table1; SELECT * FROM table2;"; PreparedStatement ps = conn.prepareStatement(sql); boolean hasResult = ps.execute(); while (hasResult) { ResultSet rs = ps.getResultSet(); // 处理查询结果 while (rs.next()) { // 处理每一条记录 } hasResult = ps.getMoreResults(); } ``` 在上面的代码中,我们首先创建了一个 PreparedStatement 对象 ps,然后将两条 SQL 查询语句组合成一个字符串并赋值给 sql 变量。接着,我们使用 ps.execute() 方法执行查询语句,该方法返回一个 boolean 值,指示查询语句是否有结果集。如果有结果集,则使用 ps.getResultSet() 方法获取结果集,并使用 ResultSet 对象处理查询结果。最后,使用 ps.getMoreResults() 方法判断是否还有下一条查询语句,如果有,则继续处理下一条语句的结果集。 ### 回答2: JDBC的PreparedStatement是一种用于执行多条SQL查询语句的机制。它允许我们预先定义SQL语句并在执行时提供参数值。 使用PreparedStatement可以避免SQL注入攻击,并且可以提高性能。 首先,我们需要创建一个PreparedStatement对象。这可以通过Connection对象的prepareStatement方法来完成。例如: PreparedStatement statement = connection.prepareStatement("SELECT * FROM students WHERE age > ?"); 在这个例子中,我们创建了一个PreparedStatement对象来执行查询年龄大于指定值的学生的SQL语句。 接下来,我们可以使用setXXX方法来设置参数值。XXX代表参数的数据类型。例如,如果我们要设置age参数的值为18,可以使用: statement.setInt(1, 18); 注意,参数的索引是从1开始的。 然后,我们可以使用executeQuery方法来执行查询语句,并获取结果集: ResultSet resultSet = statement.executeQuery(); 最后,我们可以使用ResultSet对象来遍历查询结果并进行相应的操作。例如: while (resultSet.next()) { String name = resultSet.getString("name"); int age = resultSet.getInt("age"); // 进行操作 } 最后,我们需要关闭PreparedStatement对象和相关资源: resultSet.close(); statement.close(); 使用PreparedStatement可以有效地执行多条SQL查询语句,并且保护我们的应用程序免受SQL注入攻击。 ### 回答3: JDBC是Java数据库连接的标准API,用于连接和操作关系型数据库。在JDBC中,我们可以使用PreparedStatement来执行多条SQL查询语句。 PreparedStatement是一种预编译的语句,它可以在执行之前进行编译和参数绑定,避免了SQL注入的风险,并且提高了数据库操作的性能。 首先,我们需要获取一个PreparedStatement对象,可以通过Connection的prepareStatement方法来创建。例如: ``` String sql = "SELECT * FROM table_name WHERE column_name = ?"; PreparedStatement statement = connection.prepareStatement(sql); ``` 在创建PreparedStatement对象之后,我们可以使用setXxx方法来设置参数,该方法的参数为SQL语句中的占位符的索引和对应的值。例如: ``` statement.setInt(1, 123); ``` 在设置完参数之后,我们可以使用executeQuery方法来执行查询语句,并获取结果集。例如: ``` ResultSet resultSet = statement.executeQuery(); ``` 对于多条SQL查询语句,我们可以简单地使用多个PreparedStatement对象来执行。例如: ``` String sql1 = "SELECT * FROM table1 WHERE column1 = ?"; PreparedStatement statement1 = connection.prepareStatement(sql1); // 设置参数 ResultSet resultSet1 = statement1.executeQuery(); String sql2 = "SELECT * FROM table2 WHERE column2 = ?"; PreparedStatement statement2 = connection.prepareStatement(sql2); // 设置参数 ResultSet resultSet2 = statement2.executeQuery(); ``` 最后,我们可以通过遍历结果集来获取每一条查询语句的结果,进行进一步的处理和展示。 通过使用PreparedStatement,我们可以方便地执行多条SQL查询语句,并且保证了安全性和性能。希望这个回答能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

十八岁讨厌编程

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值