使用mvs2010做网站,网页版传奇单职业,超市网站设计,绘画网站建设文章目录 操作和访问数据库Statement操作数据表的弊端sql注入问题PreparedStatement类ResultSet类与ResultSetMetaData类资源的释放批量插入 操作和访问数据库
数据库的调用的不同方式:
Statement#xff1a;用于执行静态 SQL 语句并返回它所生成结果的对象。PreparedStatem… 文章目录 操作和访问数据库Statement操作数据表的弊端sql注入问题PreparedStatement类ResultSet类与ResultSetMetaData类资源的释放批量插入 操作和访问数据库
数据库的调用的不同方式:
Statement用于执行静态 SQL 语句并返回它所生成结果的对象。PreparedStatementSQL 语句被预编译并存储在此对象中可以使用此对象多次高效地执行该语句。CallableStatement用于执行 SQL 存储过程
Statement操作数据表的弊端
存在拼串操作繁琐存在SQL注入问题()
sql注入问题
SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查而在用户输入数据中注入非法的 SQL 语句段或命令 从而利用系统的 SQL 引擎完成恶意行为的做法。
通过一个登录功能来讲解sql注入问题
在test数据库创建一个user表
create table user(uid int primary key,username varchar(20),password varchar(20)
)
insert user values(1,小明,123456)准备一个jdbc.properties
driverClasscom.mysql.jdbc.Driver
urljdbc:mysql://localhost:3306/test
userroot
password123456创建一个User对象
public class User {String username;String password;
}创建一个StatementTest类
import java.io.InputStream;
import java.lang.reflect.Field;
import java.sql.*;
import java.util.Properties;
import java.util.Scanner;public class StatementTest {public static void main(String[] args) {testLogin();}// 使用Statement的弊端需要拼写sql语句并且存在SQL注入的问题public static void testLogin() {Scanner scan new Scanner(System.in);System.out.print(用户名);String userName scan.nextLine();System.out.print(密 码);String password scan.nextLine();// SELECT username,password FROM user WHERE username or 1 AND password 1 or 1 1 String sql SELECT username,password FROM user WHERE username userName AND password password ;System.out.println(sql);User user get(sql, User.class);if (user ! null) {System.out.println(登陆成功!);} else {System.out.println(用户名或密码错误);}}// 使用Statement实现对数据表的查询操作public static T T get(String sql, ClassT clazz) {T t null;Connection conn null;Statement st null;ResultSet rs null;try {// 1.加载配置文件InputStream is StatementTest.class.getClassLoader().getResourceAsStream(jdbc.properties);Properties pros new Properties();pros.load(is);// 2.读取配置信息String user pros.getProperty(user);String password pros.getProperty(password);String url pros.getProperty(url);String driverClass pros.getProperty(driverClass);// 3.加载驱动Class.forName(driverClass);// 4.获取连接conn DriverManager.getConnection(url, user, password);st conn.createStatement();rs st.executeQuery(sql);// 获取结果集的元数据ResultSetMetaData rsmd rs.getMetaData();// 获取结果集的列数int columnCount rsmd.getColumnCount();if (rs.next()) {t clazz.newInstance();for (int i 0; i columnCount; i) {// //1. 获取列的名称// String columnName rsmd.getColumnName(i1);// 1. 获取列的别名String columnName rsmd.getColumnLabel(i 1);// 2. 根据列名获取对应数据表中的数据Object columnVal rs.getObject(columnName);// 3. 将数据表中得到的数据封装进对象Field field clazz.getDeclaredField(columnName);field.setAccessible(true);field.set(t, columnVal);}return t;}} catch (Exception e) {e.printStackTrace();} finally {// 关闭资源if (rs ! null) {try {rs.close();} catch (SQLException e) {e.printStackTrace();}}if (st ! null) {try {st.close();} catch (SQLException e) {e.printStackTrace();}}if (conn ! null) {try {conn.close();} catch (SQLException e) {e.printStackTrace();}}}return null;}
}启动程序用户名’ or 1密码1’ or ‘1’ 1 可以看到就算我们没有输入正确的用户名密码但是还是登录成功了。因此我们需要使用PreparedStatement解决sql注入问题。
PreparedStatement类
PreparedStatement 接口是 Statement 的子接口它表示一条预编译过的 SQL 语句
优点
DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用所以语句在被DBServer的编译器编译后的执行代码被缓存下来那么下次调用时只要是相同的预编译语句就不需要编译只要将参数直接传入编译过的语句执行代码中就会得到执行。PreparedStatement 可以防止 SQL 注入
封装一个连接数据库的工具类JdbcUtils类
import java.io.IOException;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;public class JDBCUtils {public static Connection con null;public static String driverClass null;public static String url null;public static String username null;public static String password null;public static Connection getConnection(){InputStream in JDBCUtils.class.getClassLoader().getResourceAsStream(jdbc.properties);Properties properties new Properties();try {properties.load(in);properties.getProperty(driver);url properties.getProperty(url);username properties.getProperty(username);password properties.getProperty(password);driverClass properties.getProperty(driverClass);Class.forName(driverClass);con DriverManager.getConnection(url,username,password);} catch (IOException e) {e.printStackTrace();} catch (ClassNotFoundException e) {e.printStackTrace();} catch (SQLException e) {e.printStackTrace();}return con;}public static void closeResource(Connection conn, PreparedStatement ps) {try {if (conn ! null){conn.close();}if (ps ! null) {ps.close();}} catch (SQLException e) {e.printStackTrace();}}public static void closeResource(Connection conn, PreparedStatement ps, ResultSet rs) {try {if (conn ! null){conn.close();}if (ps ! null) {ps.close();}if (rs ! null) {rs.close();}} catch (SQLException e) {e.printStackTrace();}}
}
编写一个PreparedStatementTest测试类
import java.lang.reflect.Field;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.ResultSetMetaData;
import java.util.Scanner;public class PreparedStatementTest {//通用的增、删、改操作体现一增、删、改 体现二针对于不同的表public static void update(String sql,Object ... args){Connection conn null;PreparedStatement ps null;try {//1.获取数据库的连接conn JDBCUtils.getConnection();//2.获取PreparedStatement的实例 (或预编译sql语句)ps conn.prepareStatement(sql);//3.填充占位符for(int i 0;i args.length;i){ps.setObject(i 1, args[i]);}//4.执行sql语句ps.execute();} catch (Exception e) {e.printStackTrace();}finally{//5.关闭资源JDBCUtils.closeResource(conn, ps);}}// 通用的针对于不同表的查询:返回一个对象 (version 1.0)public static T T getInstance(ClassT clazz, String sql, Object... args) {Connection conn null;PreparedStatement ps null;ResultSet rs null;try {// 1.获取数据库连接conn JDBCUtils.getConnection();// 2.预编译sql语句得到PreparedStatement对象ps conn.prepareStatement(sql);// 3.填充占位符for (int i 0; i args.length; i) {ps.setObject(i 1, args[i]);}// 4.执行executeQuery(),得到结果集ResultSetrs ps.executeQuery();// 5.得到结果集的元数据ResultSetMetaDataResultSetMetaData rsmd rs.getMetaData();// 6.1通过ResultSetMetaData得到columnCount,columnLabel通过ResultSet得到列值int columnCount rsmd.getColumnCount();if (rs.next()) {T t clazz.newInstance();for (int i 0; i columnCount; i) {// 遍历每一个列// 获取列值Object columnVal rs.getObject(i 1);// 获取列的别名:列的别名使用类的属性名充当String columnLabel rsmd.getColumnLabel(i 1);// 6.2使用反射给对象的相应属性赋值Field field clazz.getDeclaredField(columnLabel);field.setAccessible(true);field.set(t, columnVal);}return t;}} catch (Exception e) {e.printStackTrace();} finally {// 7.关闭资源JDBCUtils.closeResource(conn, ps, rs);}return null;}public static void testLogin() {Scanner scan new Scanner(System.in);System.out.print(用户名);String userName scan.nextLine();System.out.print(密 码);String password scan.nextLine();// SELECT username,password FROM user WHERE username or 1 AND password 1 or 1 1 String sql SELECT username,password FROM user WHERE username userName AND password password ;System.out.println(sql);User user getInstance(User.class,sql,userName,password);if (user ! null) {System.out.println(登陆成功!);} else {System.out.println(用户名或密码错误);}}public static void main(String[] args) {testLogin();}}此时我们用户名输入’ or 1密码输入1’ or ‘1’ 1出现了public class SQLException extends java.lang.Exception异常。成功的解决了sql注入问题。
ResultSet类与ResultSetMetaData类
ResultSet ResultSet 对象以逻辑表格的形式封装了执行数据库操作的结果集,
ResultSet 对象维护了一个指向当前数据行的游标初始的时候游标在第一行之前可以通过 ResultSet 对象的 next() 方法移动到下一行。调用 next()方法检测下一行是否有效。若有效该方法返回 true且指针下移。相当于Iterator对象的 hasNext() 和 next() 方法的结合体。
ResultSetMetaData: 可用于获取关于 ResultSet 对象中列的类型和属性信息的对象
getColumnName(int column)获取指定列的名称getColumnLabel(int column)获取指定列的别名getColumnCount()返回当前 ResultSet 对象中的列数。getColumnTypeName(int column)检索指定列的数据库特定的类型名称。getColumnDisplaySize(int column)指示指定列的最大标准宽度以字符为单位。isNullable(int column)指示指定列中的值是否可以为 null。isAutoIncrement(int column)指示是否自动为指定列进行编号这样这些列仍然是只读的。
资源的释放
释放ResultSet, Statement,Connection。数据库连接Connection是非常稀有的资源用完后必须马上释放如果Connection不能及时正确的关闭将导致系统宕机。Connection的使用原则是尽量晚创建尽量早的释放。可以在finally中关闭保证及时其他代码出现异常资源也一定能被关闭。
批量插入
addBatch(String)添加需要批量处理的SQL语句或是参数executeBatch()执行批量处理语句clearBatch():清空缓存的数据
创建一个图书表
CREATE TABLE books(id INT PRIMARY KEY AUTO_INCREMENT,NAME VARCHAR(20)
);创建一个addBatchTest测试类
import java.sql.Connection;
import java.sql.PreparedStatement;public class addBatchTest {public static void testInsert2() throws Exception{long start System.currentTimeMillis();Connection conn JDBCUtils.getConnection();//1.设置为不自动提交数据conn.setAutoCommit(false);String sql insert into books(name) values(?);PreparedStatement ps conn.prepareStatement(sql);for(int i 1;i 10000;i){ps.setString(1, name_ i);//1.“攒”sqlps.addBatch();if(i % 500 0){//2.执行ps.executeBatch();//3.清空ps.clearBatch();}}//2.提交数据conn.commit();long end System.currentTimeMillis();System.out.println(花费的时间为 (end - start));//10000条:JDBCUtils.closeResource(conn, ps);}public static void main(String[] args) throws Exception {testInsert2();}
}启动程序进行测试 这里我们可以看到插入10000条数据用了1443ms实现了批量插入。这里我们是取消了自动提交。通过手动提交的方式来提高效率。
欢迎java热爱者了解文章作者将会持续更新中期待各位友友的关注和收藏,另外对编程感兴趣的友友们可以加以下群共同学习。群号127871664
