2. 技术博客
  3. 三、使用PreparedStatement实现增删改查(CRUD)操作

三、使用PreparedStatement实现增删改查(CRUD)操作

tech2024-05-20  77

一、操作和访问数据库

1. 数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 2. 在java.sql包中有三个接口分别定义了对数据库的调用的不同方式:

Statement: 用于执行静态SQL语句并返回它所生成结果的对象。PrepatedStatement: SQL语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句。CallableStatement: 用于执行SQL存储过程。

二、使用Statement操作数据库表的弊端

1. 使用Statement操作数据表存在弊端:

问题一:存在拼串操作,繁琐问题二:存在SQL注入问题

2. SQL注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令(如:SELECT user,password FROM user_table WHERE user = ‘a’ OR ‘1’ = 'AND password = ’ OR ‘1’ = ‘1’),从而利用系统的SQL引擎完成恶意行为的做法。

3. 对于java而言,要防范SQL注入,只要用PreparedStatement(从Statement扩展而来) 取代Statement就可以了。

三、PreparedStatement

可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象

PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句

PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调 用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方 法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开 始),第二个是设置的 SQL 语句中的参数的值

四、PreparedStatement vs Statement

代码的可读性和可维护性.。PreparedStatement 能最大可能提高性能:PreparedStatement 可以防止 SQL 注入

五、连接数据库、操作表的步骤

通用增删改操作代码:

//通用的增删改操作 //sql中占位符的个数与可变形参的长度相同 public void update(String sql,Object...args){ Connection conn = null; PreparedStatement ps = null; try { //1.获取数据库的连接 conn = JDBCUtils.getConnection(); //2.预编译sql语句,返回PreparedStatement的实例 ps = conn.prepareStatement(sql); //3.填充占位符 for (int i = 0; i < args.length; i++) { ps.setObject(i+1,args[i]); //小心参数声明错误 } //4.执行 ps.execute(); } catch (Exception e) { e.printStackTrace(); }finally { //5.资源的关闭 JDBCUtils.closeResource(conn, ps); } }

JDBCUtils类:

import java.io.IOException; import java.io.InputStream; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.SQLException; import java.util.Properties; import com.atguigu1.connection.ConnectionTest; import java.sql.Statement; public class JDBCUtils { /** * 获取数据库的连接 * * @return * @throws Exception */ public static Connection getConnection() throws Exception { // 1.读取配置文件的4个基本信息 InputStream is = ClassLoader.getSystemClassLoader().getResourceAsStream("jdbc.properties"); Properties pros = new Properties(); pros.load(is); String user = pros.getProperty("user"); String password = pros.getProperty("password"); String url = pros.getProperty("url"); String driverClass = pros.getProperty("driverClass"); // 2.加载驱动 Class.forName(driverClass); // 3.获取连接 Connection conn = DriverManager.getConnection(url, user, password); return conn; } /** * 关闭连接和Statement的操作 * @param conn * @param ps */ public static void closeResource(Connection conn, Statement ps) { // 7.资源的关闭 try { if (ps != null) ps.close(); } catch (SQLException e) { // TODO Auto-generated catch block e.printStackTrace(); } try { if (conn != null) conn.close(); } catch (SQLException e) { // TODO Auto-generated catch block e.printStackTrace(); } } }

释放资源

释放ResultSet, Statement,Connection。数据库连接(Connection)是非常稀有的资源,用完后必须马上释放, 如果Connection不能及时正确的关闭将导致系统宕机。Connection的使 用原则是尽量晚创建,尽量早的释放。

我的博客:https://blog.csdn.net/txb116424

最新回复(0)