java攻城狮之路--复习JDBC(PrepareStatement)
PreparedStatement:
1、可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象
2、PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句
2、PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,
调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数,
第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值.
PreparedStatement vs Statement:
1、代码的可读性和可维护性.
2、PreparedStatement 能最大可能提高性能:
–-DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer
的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,
只要将参数直接传入编译过的语句执行代码中就会得到执行。
–-在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的
意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次.
–-(语法检查,语义检查,翻译成二进制命令,缓存)
3、PreparedStatement 可以防止 SQL 注入 .
package com.shellway.jdbc; import java.io.IOException;
import java.io.InputStream;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties; public class JDBCTools { /**
* 执行 SQL 语句, 使用 PreparedStatement
* @param sql
* @param args: 填写 SQL 占位符的可变参数
*/
public static void update(String sql, Object ... args){
Connection connection = null;
PreparedStatement preparedStatement = null; try {
connection = JDBCTools.getConnection();
preparedStatement = connection.prepareStatement(sql); for(int i = 0; i < args.length; i++){
preparedStatement.setObject(i + 1, args[i]);
} preparedStatement.executeUpdate(); } catch (Exception e) {
e.printStackTrace();
} finally{
JDBCTools.releaseDB(null, preparedStatement, connection);
}
} /**
* 执行 SQL 的方法
*
* @param sql: insert, update 或 delete。 而不包含 select
*/
public static void update(String sql) {
Connection connection = null;
Statement statement = null; try {
// 1. 获取数据库连接
connection = getConnection(); // 2. 调用 Connection 对象的 createStatement() 方法获取 Statement 对象
statement = connection.createStatement(); // 4. 发送 SQL 语句: 调用 Statement 对象的 executeUpdate(sql) 方法
statement.executeUpdate(sql); } catch (Exception e) {
e.printStackTrace();
} finally {
// 5. 关闭数据库资源: 由里向外关闭.
releaseDB(null, statement, connection);
}
} /**
* 释放数据库资源的方法
*
* @param resultSet
* @param statement
* @param connection
*/
public static void releaseDB(ResultSet resultSet, Statement statement,
Connection connection) { if (resultSet != null) {
try {
resultSet.close();
} catch (SQLException e) {
e.printStackTrace();
}
} if (statement != null) {
try {
statement.close();
} catch (SQLException e) {
e.printStackTrace();
}
} if (connection != null) {
try {
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
} } /**
* 获取数据库连接的方法
*/
public static Connection getConnection() throws IOException,
ClassNotFoundException, SQLException {
// 0. 读取 jdbc.properties
/**
* 1). 属性文件对应 Java 中的 Properties 类 2). 可以使用类加载器加载 bin 目录(类路径下)的文件
*/
Properties properties = new Properties();
InputStream inStream = ReviewTest.class.getClassLoader()
.getResourceAsStream("jdbc.properties");
properties.load(inStream); // 1. 准备获取连接的 4 个字符串: user, password, jdbcUrl, driverClass
String user = properties.getProperty("user");
String password = properties.getProperty("password");
String jdbcUrl = properties.getProperty("jdbcUrl");
String driverClass = properties.getProperty("driverClass"); // 2. 加载驱动: Class.forName(driverClass)
Class.forName(driverClass); // 3. 调用
// DriverManager.getConnection(jdbcUrl, user, password)
// 获取数据库连接
Connection connection = DriverManager.getConnection(jdbcUrl, user,
password);
return connection;
}
}
JDBCTools.java
/**
* 使用 PreparedStatement 将有效的解决 SQL 注入问题.
*/
@Test
public void testSQLInjection2() {
String username = "a' OR PASSWORD = ";
String password = " OR '1'='1"; String sql = "SELECT * FROM users WHERE username = ? "
+ "AND password = ?"; Connection connection = null;
PreparedStatement preparedStatement = null;
ResultSet resultSet = null; try {
connection = JDBCTools.getConnection();
preparedStatement = connection.prepareStatement(sql); preparedStatement.setString(1, username);
preparedStatement.setString(2, password); resultSet = preparedStatement.executeQuery(); if (resultSet.next()) {
System.out.println("登录成功!");
} else {
System.out.println("用户名和密码不匹配或用户名不存在. ");
} } catch (Exception e) {
e.printStackTrace();
} finally {
JDBCTools.releaseDB(resultSet, preparedStatement, connection);
}
} /**
* SQL 注入.
*/
@Test
public void testSQLInjection() {
String username = "a' OR PASSWORD = ";
String password = " OR '1'='1"; String sql = "SELECT * FROM users WHERE username = '" + username
+ "' AND " + "password = '" + password + "'"; System.out.println(sql); Connection connection = null;
Statement statement = null;
ResultSet resultSet = null; try {
connection = JDBCTools.getConnection();
statement = connection.createStatement();
resultSet = statement.executeQuery(sql); if (resultSet.next()) {
System.out.println("登录成功!");
} else {
System.out.println("用户名和密码不匹配或用户名不存在. ");
} } catch (Exception e) {
e.printStackTrace();
} finally {
JDBCTools.releaseDB(resultSet, statement, connection);
}
}
使用 PreparedStatement 将有效的解决 SQL 注入问题
练习:
•插入一个新的 student 信息
1)请输入考生的详细信息
Type:
IDCard:
ExamCard:
StudentName:
Location:
Grade:
提示:信息录入成功!
2).在 eclipse 中建立 java 程序:输入身份证号或准考证号可以查询到学生的基本信息。结果如下:
@Test
public void testGetStudent() {
// 1. 得到查询的类型
int searchType = getSearchTypeFromConsole(); // 2. 具体查询学生信息
Student student = searchStudent(searchType); // 3. 打印学生信息
printStudent(student);
} /**
* 打印学生信息: 若学生存在则打印其具体信息. 若不存在: 打印查无此人.
*
* @param student
*/
private void printStudent(Student student) {
if (student != null) {
System.out.println(student);
} else {
System.out.println("查无此人!");
}
} /**
* 具体查询学生信息的. 返回一个 Student 对象. 若不存在, 则返回 null
*
* @param searchType
* : 1 或 2.
* @return
*/
private Student searchStudent(int searchType) { String sql = "SELECT flowid, type, idcard, examcard,"
+ "studentname, location, grade " + "FROM examstudent "
+ "WHERE "; Scanner scanner = new Scanner(System.in); // 1. 根据输入的 searchType, 提示用户输入信息:
// 1.1 若 searchType 为 1, 提示: 请输入身份证号. 若为 2 提示: 请输入准考证号
// 2. 根据 searchType 确定 SQL
if (searchType == 1) {
System.out.print("请输入准考证号:");
String examCard = scanner.next();
sql = sql + "examcard = '" + examCard + "'";
} else {
System.out.print("请输入身份证号:");
String examCard = scanner.next();
sql = sql + "idcard = '" + examCard + "'";
} // 3. 执行查询
Student student = getStudent(sql); // 4. 若存在查询结果, 把查询结果封装为一个 Student 对象 return student;
} /**
* 根据传入的 SQL 返回 Student 对象
*
* @param sql
* @return
*/
private Student getStudent(String sql) { Student stu = null; Connection connection = null;
Statement statement = null;
ResultSet resultSet = null; try {
connection = JDBCTools.getConnection();
statement = connection.createStatement();
resultSet = statement.executeQuery(sql); if (resultSet.next()) {
stu = new Student(resultSet.getInt(1), resultSet.getInt(2),
resultSet.getString(3), resultSet.getString(4),
resultSet.getString(5), resultSet.getString(6),
resultSet.getInt(7));
} } catch (Exception e) {
e.printStackTrace();
} finally {
JDBCTools.releaseDB(resultSet, statement, connection);
} return stu;
} /**
* 从控制台读入一个整数, 确定要查询的类型
*
* @return: 1. 用身份证查询. 2. 用准考证号查询 其他的无效. 并提示请用户重新输入.
*/
private int getSearchTypeFromConsole() { System.out.print("请输入查询类型: 1. 用身份证查询. 2. 用准考证号查询 "); Scanner scanner = new Scanner(System.in);
int type = scanner.nextInt(); if (type != 1 && type != 2) {
System.out.println("输入有误请重新输入!");
throw new RuntimeException();
} return type;
} @Test
public void testAddNewStudent() {
Student student = getStudentFromConsole();
addNewStudent2(student);
} /**
* 从控制台输入学生的信息
*/
private Student getStudentFromConsole() { Scanner scanner = new Scanner(System.in); Student student = new Student(); System.out.print("FlowId:");
student.setFlowId(scanner.nextInt()); System.out.print("Type: ");
student.setType(scanner.nextInt()); System.out.print("IdCard:");
student.setIdCard(scanner.next()); System.out.print("ExamCard:");
student.setExamCard(scanner.next()); System.out.print("StudentName:");
student.setStudentName(scanner.next()); System.out.print("Location:");
student.setLocation(scanner.next()); System.out.print("Grade:");
student.setGrade(scanner.nextInt()); return student;
} public void addNewStudent2(Student student) {
String sql = "INSERT INTO examstudent(flowid, type, idcard, "
+ "examcard, studentname, location, grade) "
+ "VALUES(?,?,?,?,?,?,?)"; JDBCTools.update(sql, student.getFlowId(), student.getType(),
student.getIdCard(), student.getExamCard(),
student.getStudentName(), student.getLocation(),
student.getGrade());
} public void addNewStudent(Student student) {
// 1. 准备一条 SQL 语句:
String sql = "INSERT INTO examstudent VALUES(" + student.getFlowId()
+ "," + student.getType() + ",'" + student.getIdCard() + "','"
+ student.getExamCard() + "','" + student.getStudentName()
+ "','" + student.getLocation() + "'," + student.getGrade()
+ ")"; System.out.println(sql); // 2. 调用 JDBCTools 类的 update(sql) 方法执行插入操作.
JDBCTools.update(sql);
} }
练习代码
在练习中要注意的问题:
1、在执行这一语句ps = conn.prepareStatement(sql);的时候,如果提示要强制转换成prepareStatement类型,
则不要转换,只需要把包导入就行:import java.sql.PreparedStatement;
2、遇到插入日期语句的时候,比如:ps.setDate(3, new Date(new java.util.Date().getTime()));
前面的new Date()是要声明为java.sql包中的,里面的new Date()则要声明为java.util包中的。
在使用Preparement的时候,最好在主程序中写函数然后调用工具类JDBCTools.java中的更新方法:
public void addStudent(Student stu) throws Exception {
String sql = "insert into examstudent values(?,?,?,?,?,?,?)";
JDBCTools.testUpdate(sql, stu.getFlowID(), stu.getType(),
stu.getIdCard(), stu.getExamCard(), stu.getStudentName(),
stu.getLocation(), stu.getGrade());
}
测试函数
在 工具类JDBCTools.java中写更新方法,传入 sql 和 可变参数args
public static void testUpdate(String sql, Object... args) throws Exception {
Connection conn = null;
PreparedStatement ps = null;
try {
conn = JDBCTools.getConnection();
ps = conn.prepareStatement(sql);
for (int i = 0; i < args.length; i++) {
ps.setObject(i + 1, args[i]);
}
System.out.println(sql);
ps.executeUpdate();
} catch (Exception e) {
e.printStackTrace();
} finally {
JDBCTools.release(null, ps, conn);
}
}
工具类JDBCTools.java中的更新方法
下面写个简单而小巧的PrepareStatement例子:
@Test
public void testPreparedStatement() {
Connection connection = null;
PreparedStatement preparedStatement = null; try {
connection = JDBCTools.getConnection();
String sql = "INSERT INTO customers (name, email, birth) "
+ "VALUES(?,?,?)"; preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, "shellway");
preparedStatement.setString(2, "shellway@163.com");
preparedStatement.setDate(3,
new Date(new java.util.Date().getTime())); preparedStatement.executeUpdate();
} catch (Exception e) {
e.printStackTrace();
} finally {
JDBCTools.releaseDB(null, preparedStatement, connection);
}
}
PrepareStatement例子
java攻城狮之路--复习JDBC(PrepareStatement)的更多相关文章
- java攻城狮之路--复习JDBC
1.JDBC中如何获取数据库链接Connection? Driver 是一个接口: 数据库厂商必须提供实现的接口. 能从其中获取数据库连接. 可以通过 Driver 的实现类对象获取数据库连接. 1. ...
- java攻城狮之路--复习JDBC(数据库连接池 : C3P0、DBCP)
复习数据库连接池 : C3P0.DBCP 1.数据库连接池技术的优点: •资源重用: 由于数据库连接得以重用,避免了频繁创建,释放连接引起的大量性能开销.在减少系统消耗的基础上,另一方面也增 ...
- java攻城狮之路--复习JDBC(利用BeanUtils、JDBC元数据编写通用的查询方法;元数据;Blob;事务;批量处理)
1.利用BeanUtils的前提得要加入以下两个jar包: commons-beanutils-1.8.0.jar commons-logging-1.1.1.jar package com.shel ...
- java攻城狮之路--复习xml&dom_pull编程续
本章节我们要学习XML三种解析方式: 1.JAXP DOM 解析2.JAXP SAX 解析3.XML PULL 进行 STAX 解析 XML 技术主要企业应用1.存储和传输数据 2.作为框架的配置文件 ...
- java攻城狮之路--复习xml&dom_pull编程
xml&dom_pull编程: 1.去掉欢迎弹窗界面:在window项的preferences选项中输入“configuration center” 找到这一项然后 把复选框勾去即可. ...
- java攻城狮之路(Android篇)--BroadcastReceiver&Service
四大组件:activity 显示. contentProvider 对外暴露自己的数据给其他的应用程序.BroadcastReceiver 广播接收者,必须指定要接收的广播类型.必须明确的指定acti ...
- java攻城狮之路(Android篇)--Activity生命
一:Activity的激活 1.写一个类 extends Activity Activity是android的四大组件之一.Activity的激活分为显式意图激活和隐式意图激活.如果一个activit ...
- java攻城狮之路(Android篇)--与服务器交互
一.图片查看器和网页源码查看器 在输入地址的是不能输入127.0.0.1 或者是 localhost.ScrollView :可以看成一个滚轴 可以去包裹很多的控件在里面 练习1(图片查看器): pa ...
- java攻城狮之路(Android篇)--widget_webview_metadata_popupwindow_tabhost_分页加载数据_菜单
一.widget:桌面小控件1 写一个类extends AppWidgetProvider 2 在清单文件件中注册: <receiver android:name=".ExampleA ...
随机推荐
- springMvc把client传过来一个String类型,转换为日期类型为例
springMvc--接受日期类型参数处理 目录 步骤 2.自定义类型转换规则 3.注册自定义的类型转换类 4.地址栏访问 这个问题,也即是springMvc如何进行参数类型的转换 , 以把cli ...
- 基本的数据类型分析----java.lang.Number类及其子类分析
本文转自http://blog.csdn.net/springcsc1982/article/details/8788345 感谢作者 编写了一个测试程序,如下: int a = 1000, b= 1 ...
- SpriteBuilder&Cocos2D使用CCEffect特效实现天黑天亮过度效果
大熊猫猪·侯佩原创或翻译作品.欢迎转载,转载请注明出处. 假设认为写的不好请多提意见,假设认为不错请多多支持点赞.谢谢! hopy ;) 在动作或RPG类游戏中我们有时须要天黑和天亮过度的效果来完毕场 ...
- 具体解释clone函数
我们都知道linux中创建新进程是系统调用fork,但实际上fork是clone功能的一部分,clone和fork的主要差别是传递了几个參数.clone隶属于libc.它的意义就是实现线程. 看一下c ...
- HDOJ 题目5289 Assignment(RMQ,技巧)
Assignment Time Limit: 4000/2000 MS (Java/Others) Memory Limit: 65536/65536 K (Java/Others) Total ...
- IEC61131-3——数据类型
1. 摘要 列出IEC61131-3支持的几种常用数据类型. 2. 内容 使用USB-CAN接口卡调试从站,SDO发送使用的功能码与字节的关系如下. 2f表示8位,2b表示16位,23表示32位数据. ...
- Flink编程练习
目录 1.wordcount 2.双流警报EventTime 3.持续计数stateful + timer + SideOutputs 4.一定时间范围内的极值windowfunction + che ...
- 一、Linux文件权限与目录配置
行文结构如下: 用户和用户组 Linux文件权限概念 Linux目录配置 重点回顾 1.用户与用户组 Linux是个多用户.多任务的系统,可能有多人同时使用这台机器进行工作,为了考虑每个人的隐私和工作 ...
- [Swift通天遁地]七、数据与安全-(10)文件的加密压缩和解压加密压缩
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★➤微信公众号:山青咏芝(shanqingyongzhi)➤博客园地址:山青咏芝(https://www.cnblogs. ...
- SpringBoot集成Swagger2 以及汉化 快速教程
(一) Swagger介绍 Swagger 是一款RESTFUL接口的文档在线自动生成+功能测试功能软件 (二)为什么使用Swagger 在现在的开发过程中还有很大一部分公司都是以口口相传的方式来进行 ...