本文主要是介绍三、使用PreparedStatement实现增删改查(CRUD)操作,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、操作和访问数据库
1. 数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。
2. 在java.sql包中有三个接口分别定义了对数据库的调用的不同方式:
- Statement: 用于执行静态SQL语句并返回它所生成结果的对象。
- PrepatedStatement: SQL语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句。
- CallableStatement: 用于执行SQL存储过程。
二、使用Statement操作数据库表的弊端
1. 使用Statement操作数据表存在弊端:
- 问题一:存在拼串操作,繁琐
- 问题二:存在SQL注入问题
2. SQL注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令(如:SELECT user,password FROM user_table WHERE user = ‘a’ OR ‘1’ = 'AND password = ’ OR ‘1’ = ‘1’),从而利用系统的SQL引擎完成恶意行为的做法。
3. 对于java而言,要防范SQL注入,只要用PreparedStatement(从Statement扩展而来) 取代Statement就可以了。
三、PreparedStatement
-
可以通过调用 Connection 对象的 preparedStatement() 方法获取
PreparedStatement 对象 -
PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的
SQL 语句 -
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调
用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方
法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开
始),第二个是设置的 SQL 语句中的参数的值
四、PreparedStatement vs Statement
- 代码的可读性和可维护性.。
- PreparedStatement 能最大可能提高性能:
- PreparedStatement 可以防止 SQL 注入
五、连接数据库、操作表的步骤
通用增删改操作代码:
//通用的增删改操作//sql中占位符的个数与可变形参的长度相同public void update(String sql,Object...args){Connection conn = null;PreparedStatement ps = null;try {//1.获取数据库的连接conn = JDBCUtils.getConnection();//2.预编译sql语句,返回PreparedStatement的实例ps = conn.prepareStatement(sql);//3.填充占位符for (int i = 0; i < args.length; i++) {ps.setObject(i+1,args[i]); //小心参数声明错误}//4.执行ps.execute();} catch (Exception e) {e.printStackTrace();}finally {//5.资源的关闭JDBCUtils.closeResource(conn, ps);}}
JDBCUtils类:
import java.io.IOException;
import java.io.InputStream;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Properties;import com.atguigu1.connection.ConnectionTest;
import java.sql.Statement;public class JDBCUtils {/*** 获取数据库的连接* * @return* @throws Exception*/public static Connection getConnection() throws Exception {// 1.读取配置文件的4个基本信息InputStream is = ClassLoader.getSystemClassLoader().getResourceAsStream("jdbc.properties");Properties pros = new Properties();pros.load(is);String user = pros.getProperty("user");String password = pros.getProperty("password");String url = pros.getProperty("url");String driverClass = pros.getProperty("driverClass");// 2.加载驱动Class.forName(driverClass);// 3.获取连接Connection conn = DriverManager.getConnection(url, user, password);return conn;}/*** 关闭连接和Statement的操作* @param conn* @param ps*/public static void closeResource(Connection conn, Statement ps) {// 7.资源的关闭try {if (ps != null)ps.close();} catch (SQLException e) {// TODO Auto-generated catch blocke.printStackTrace();}try {if (conn != null)conn.close();} catch (SQLException e) {// TODO Auto-generated catch blocke.printStackTrace();}}
}
释放资源
- 释放ResultSet, Statement,Connection。
- 数据库连接(Connection)是非常稀有的资源,用完后必须马上释放,
如果Connection不能及时正确的关闭将导致系统宕机。Connection的使
用原则是尽量晚创建,尽量早的释放。
我的博客:https://blog.csdn.net/txb116424
这篇关于三、使用PreparedStatement实现增删改查(CRUD)操作的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
