我是靠谱客的博主 忐忑外套,最近开发中收集的这篇文章主要介绍Java设计模式--JDBC案例以及Statement与PreparedStatement的区别,觉得挺不错的,现在分享给大家,希望可以做个参考。
概述
目录
JDBC入门程序步骤:
完整的JDBC工具类:
statement的安全问题:
使用PreparedStatement:
总结:
JDBC是SUN公司提供的一种连接数据库的规范,java主程序 <--> JDBC <--> mysql
主要步骤为:注册驱动、建立连接、创建statement、执行sql、关闭流
JDBC入门程序步骤:
//1. 注册驱动
// DriverManager.registerDriver(new com.mysql.jdbc.Driver());
//实际上并不会用上面注册驱动的"registerDriver"代码,因为driver源代码里已经有了注册的静态代码块(类加载的时候就加载),正确的应该是:
Class.forName("com.mysql.jdbc.Driver");
//2. 建立连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost/student", "root", "root");
//3. 创建statement , 跟数据库打交道,一定需要这个对象
Statement st = conn.createStatement();
//4. 执行sql ,得到结果集ResultSet
String sql = "select * from t_stu";
rs = st.executeQuery(sql);
//5. 遍历结果集,查询每一条记录
while(rs.next()){
int id = rs.getInt("id");
String name = rs.getString("name");
int age = rs.getInt("age");
System.out.println("id="+id + "===name="+name+"==age="+age);
}
//6.释放资源
rs.close();st.close(); conn.close();
//这是简写版,这里需要判断if!=null才能close;
完整的JDBC工具类:
JDBCUtil+properties+MainTest
JDBCUtil.java
public class JDBCUtil {
static String driverClass = null;
static String url = null;
static String name = null;
static String password= null;
static{
try {
//1. 创建一个属性配置对象
Properties properties = new Properties();
InputStream is = new FileInputStream("jdbc.properties");
//读取有两种方法:一个是上面的FileInputStream,另一个是下面这句:使用类加载器,读取src底下的properties资源文件:
//InputStream is = JDBCUtil.class.getClassLoader().getResourceAsStream("jdbc.properties");
//2. 导入输入流。
properties.load(is);
//读取属性
driverClass = properties.getProperty("driverClass");
url = properties.getProperty("url");
name = properties.getProperty("name");
password = properties.getProperty("password");
} catch (Exception e) {
e.printStackTrace();
}
}
/**
* 获取连接对象
*/
public static Connection getConn(){
Connection conn = null;
try {
//1. 注册驱动
Class.forName(driverClass);
//2. 建立连接 参数一: 协议 + 访问的数据库 , 参数二: 用户名 , 参数三: 密码。
conn = DriverManager.getConnection(url, name, password);
} catch (Exception e) {
e.printStackTrace();
}
return conn;
}
/**
* 释放资源
*/
public static void release(Connection conn , Statement st , ResultSet rs){
closeRs(rs);
closeSt(st);
closeConn(conn);
}
private static void closeRs(ResultSet rs){
try {
if(rs != null){
rs.close();
}
} catch (SQLException e) {
e.printStackTrace();
}finally{
rs = null;
}
}
private static void closeSt(Statement st){
try {
if(st != null){
st.close();
}
} catch (SQLException e) {
e.printStackTrace();
}finally{
st = null;
}
}
private static void closeConn(Connection conn){
try {
if(conn != null){
conn.close();
}
} catch (SQLException e) {
e.printStackTrace();
}finally{
conn = null;
}
}
}
jdbc.properties:
driverClass=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost/student
name=root
password=root
MainTest:
public class MainTest {
public static void main(String[] args) {
Connection conn
= null;
Statement st = null;
ResultSet rs = null;
try {
//1. 注册驱动
conn = JDBCUtil.getConn();
//2. 获得statement,跟数据库打交道,一定需要这个对象
st = conn.createStatement();
//-----------------------------------------------------------------------------------
//3. 执行查询,得到结果集
String sql = "select * from t_stu";
rs = st.executeQuery(sql);
//4. 遍历结果集,查询每一条记录
while(rs.next()){
int id = rs.getInt("id");
String name = rs.getString("name");
int age = rs.getInt("age");
System.out.println("id="+id + "===name="+name+"==age="+age);
//--------------------------------------------------------------------------------------
//3. 执行添加,executeUpdate可以用于添加,删除,更新
String sql = "delete from t_stu where name='aobama'";
//影响的行数, ,如果大于0 表明操作成功。 否则失败
int result = st.executeUpdate(sql);
if(result >0 ){
System.out.println("添加成功");
}else{
System.out.println("添加失败");
}
//--------------------------------------------------------------------------------------
//3. 执行删除
String sql = "delete from t_stu where name='aobama'";
//影响的行数, ,如果大于0 表明操作成功。 否则失败
int result = st.executeUpdate(sql);
if(result >0 ){
System.out.println("删除成功");
}else{
System.out.println("删除失败");
}
//--------------------------------------------------------------------------------------
//3. 执行更新
String sql = "update t_stu set age = 26 where name ='qyq'";
//影响的行数,如果大于0 表明操作成功。 否则失败
int result = st.executeUpdate(sql);
if(result >0 ){
System.out.println("更新成功");
}else{
System.out.println("更新失败");
}
}
} catch (Exception e) {
e.printStackTrace();
}finally{
JDBCUtil.release(conn, st, rs);
}
}
}
statement的安全问题:
这里我们使用MainTest+Dao+DaoImpl+JdbcUtil的方法;
JDBCUtil.java同上;
public class UserDaoImpl implements UserDao{
public void login(String username, String password) {
Connection conn = null;
Statement st = null;
ResultSet rs = null;
try {
//1. 获取连接对象
conn = JDBCUtil.getConn();
//2. 创建statement对象
st = conn.createStatement();
//statement的安全问题:
String sql = "select * from t_user where username='"+ username
+"' and password='"+ or +"'";
rs = st.executeQuery(sql);
if(rs.next()){
System.out.println("登录成功");
}else{
System.out.println("登录失败");
}
} catch (Exception e) {
e.printStackTrace();
}finally {
JDBCUtil.release(conn, st, rs);
}
}
}
public class TestUserDaoImpl {
@Test
public void testSelect(){
//Statement执行 ,其实是拼接sql语句的。 先拼接sql语句,然后在一起执行。
//JDBCUtil的查询语句:String sql = "select * from t_user where username='"+ username +"' and password='"+ password +"'";
UserDao dao = new UserDaoImpl();
dao.login("admin", "100234khsdf88' or '1=1");
//使用or '1=1"注入后,实际查询语句就成了,1=1永远成立,有安全漏洞:
//SELECT * FROM t_user WHERE username='admin' AND PASSWORD='100234khsdf88' or '1=1'
}
}使用PreparedStatement:
相比较statement, PreparedStatement会预先处理给定的sql语句,对其执行语法检查。 在sql语句里面使用 ? 占位符来替代后续要传递进来的变量。 后面进来的变量值,将会被看成是字符串,不会产生任何的关键字。
...
//select
//2. 创建statement对象
String sql = "select * from t_user where username=? and password=?";
//预先对sql语句执行语法的校验, ? 对应的内容,后面不管传递什么进来,都把它看成是字符串。 or select
PreparedStatement ps = conn.prepareStatement(sql);
//? 对应的索引从 1 开始。
ps.setString(1, username);
ps.setString(2, password);
rs = ps.executeQuery();
if(rs.next()){
System.out.println("登录成功");
}else{
System.out.println("登录失败");
}
...
...
//insert
conn = JDBCUtil.getConn();
String sql = "insert into t_user values(null , ? , ?)";
ps = conn.prepareStatement(sql);
//给占位符赋值 从左到右数过来,1 代表第一个问号, 永远你是1开始。
ps.setString(1, userName);
ps.setString(2, password);
int result = ps.executeUpdate();
if(result>0){
System.out.println("添加成功");
}else{
System.out.println("添加失败");
}
...
...
//delete
conn = JDBCUtil.getConn();
String sql = "delete from t_user where id = ?";
ps = conn.prepareStatement(sql);
//给占位符赋值 从左到右数过来,1 代表第一个问号, 永远你是1开始。
ps.setInt(1, id);
int result = ps.executeUpdate();
if(result>0){
...
...
//update
conn = JDBCUtil.getConn();
String sql = "update t_user set username=? where id =?";
ps = conn.prepareStatement(sql);
//给占位符赋值 从左到右数过来,1 代表第一个问号, 永远你是1开始。
ps.setString(1, name);
ps.setInt(2, id);
int result = ps.executeUpdate();
if(result>0){
...
总结:
statement使采用拼接sql语句然后执行的方式,preparedStatement则是先把带?的sql作为conn.preparedStatement()的入参,然后setInt/setString来赋值,防止sql注入攻击。
最后
以上就是忐忑外套为你收集整理的Java设计模式--JDBC案例以及Statement与PreparedStatement的区别的全部内容,希望文章能够帮你解决Java设计模式--JDBC案例以及Statement与PreparedStatement的区别所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复