jdbc心得-2-数据库与java相结合
1.使用JDBC对数据库进行CRUD
l Jdbc中的statement对象用于向数据库发送SQL语句,想完成对数据库的增删改查,只需要通过这个对象向数据库发送增删改查语句即可。
l Statement对象的executeUpdate方法,用于向数据库发送增、删、改的sql语句,executeUpdate执行完后,将会返回一个整数(即增删改语句导致了数据库几行数据发生了变化)。
l Statement.executeQuery方法用于向数据库发送查询语句,executeQuery方法返回代表查询结果的ResultSet对象。
2.模板代码
Connection conn = null;
Statement st=null;
ResultSet rs = null;
try {
//获得Connection
//创建Statement
//处理查询结果ResultSet
} finally {
//释放资源ResultSet, Statement,Connection
}
3.使用executeUpdate(String sql)方法完成数据添加操作
示例操作:
Statementst = conn.createStatement();
Stringsql = "insert into user(….) values(…..) ";
int num =st.executeUpdate(sql);
if(num>0){
System.out.println("插入成功!!!");
}
修改(update)、删除(delete)操作类似以上的插入操作。
4.使用executeQuery(String sql)方法完成数据查询操作
示例操作:
Statementst = conn.createStatement();
Stringsql = “select * from user where id=1;
ResultSet rs = st.executeUpdate(sql);
while(rs.next()){
//根据获取列的数据类型,分别调用rs的相应方法
//映射到java对象中
}
l 增、删、改用Statement.executeUpdate来完成,返回整数(匹配的记录数),这类操作相对简单。
l 查询用Statement.executeQuery来完成,返回的是ResultSet对象,ResultSet中包含了查询的结果;查询相对与增、删、改要复杂一些,因为有查询结果要处理。
5.SQL 注入是用户利用某些系统没有对输入数据进行充分的检查,从而进行恶意破坏的行为。
1、statement存在sql注入攻击问题,例如登陆用户名采用' or 1=1 or username=‘
2、对于防范SQL 注入,可以采用PreparedStatement取代Statement。
l PreperedStatement是Statement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法获得,相对于Statement对象而言:
• PreperedStatement可以避免SQL注入的问题。
• Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。PreparedStatement 可对SQL进行预编译,从而提高数据库的执行效率。
• 并且PreperedStatement对于sql中的参数,允许使用占位符的形式进行替换,简化sql语句的编写。
6.编写存储过程(参看mysql文档)
• 得到CallableStatement,并调用存储过程:CallableStatementcs = conn.prepareCall("{call demoSp(?, ?)}");
• 设置参数,注册返回值,得到输出
cs.setString(1, "abcdefg");
cs.registerOutParameter(2, Types.VARCHAR);
cs.execute();
System.out.println(cs.getString(2));