2. 程式人生 > >Spring Boot 2.0 讀書筆記_07:Spring JDBC Template

Spring Boot 2.0 讀書筆記_07:Spring JDBC Template

阿新 發佈:2018-12-28

5. Spring JDBC Template

寫在開頭,JDBC Template 是 Spring 框架在JDBC基礎上做了一定的封裝。相比當下的DAO層框架,封裝度相對較低,很早之前用過幾次,由於SQL注入的Web攻擊場景,JDBC Template具有很好的防範。

關於SQL注入:JDBC Template中對引數化的SQL查詢有著良好的驗證機制,因此建議使用引數化SQL的方式,切勿採用SQL拼裝的方式。

JDBC Template 模板測試Demo

  1. 配置類:DataSourceConfig.java

     @Configuration
 public class DataSourceConfig {

   @Bean(name = "dataSource")
   public DataSource datasource(Environment env) {
     HikariDataSource ds = new HikariDataSource();
     ds.setJdbcUrl(env.getProperty("spring.datasource.url"));
     ds.setUsername(env.getProperty("spring.datasource.username"));
     ds.setPassword(env.getProperty("spring.datasource.password"));
     ds.setDriverClassName(env.getProperty("spring.datasource.driver-class-name"));
     return ds;
   }
 }

    Environment 類在 Spring Boot 中代表了環境上下文,包含了 application.properties 配置屬性、JVM系統屬性和作業系統環境變數。

    這裡的資料庫連線池採用了:HikariCP

  2. JDBC模板注入(Dao層)

     @Repository
 public class UserDao (

   @Autowired
   JdbcTemplate jdbcTempalte;
 )

  3. 基礎操作

    • 查詢

      關於查詢的返回結果,均採用包裝型別。比如,查詢count、sum等返回的資料,此外還可以將返回結果包裝為POJO、List等。

      例如:
      返回 department_id 下 user 數目總和的查詢

      String sql = "select count(*) from user where department_id = ?";
Integer res = jdbcTeplate.queryForObject(sql, Integer.class, 1);

      上述例子中含有引數繫結:department_id --> 1

      返回POJO例項,JDBC Template需要一個RowMapper,將結果集ResultSet對映成POJO物件。
      RowMapper 從字面意思上講 [行對映] ,可以針對業務層次去實現該介面,進行結果集元組向物件的對映配置。

        @FunctionalInterface
  public interface RowMapper<T> {
  	@Nullable
  	T mapRow(ResultSet rs, int rowNum) throws SQLException;
  }

      在案例ch5中採用了內部靜態類的方式建立了 UserRowMapper:

        static class UserRowMapper implements RowMapper<User> {
  	public User mapRow(ResultSet rs, int rowNum) throws SQLException {
  		User user = new User();
  		user.setId(rs.getInt("id"));
  		user.setName(rs.getString("name"));
  		user.setDepartmentId(rs.getInt("department_id"));
  		return user;
  	}
  }

      可以看出,在UserRowMapper中,建立了User物件,並根據ResultSet結果集進行資料的獲取,通過User物件的setter方法進行物件屬性的填充。

      結合開頭提到的SQL注入問題,做一個小測試:

      final String sql_1 = "select * from user where id = ?" –> User getUserById
      final String sql_2 = "select * from user where department_id = ?" –> List<User> getUserList

      1. Controller層中採用GET方式進行資料請求:

        @GetMapping("/sql/test")
  @ResponseBody
  public Object getUserById(@RequestParam(value = "id") String id) {
  	return userDao.getUserById(id);
  }

  @GetMapping("/sql/test1")
  @ResponseBody
  public List<User> getUserList(@RequestParam(value = "id") String d_id) {
  	return userDao.getUserList(d_id);
  }

      2. Dao層中注入JDBC Template物件,並分別採用query和queryForObject方法進行操作,由於操作的資料集合為POJO(集合),所以這裡採用了上述的 UserRowMapper 對返回的Result結果進行封裝。

        public User getUserById(String id) {
  	String sql = "select * from user where id = ?";
  	return jdbcTempalte.queryForObject(sql, new UserRowMapper(), id);
  }

  public List<User> getUserList(String d_id) {
  	String sql = "select * from user where department_id = ?";
  	return jdbcTempalte.query(sql, new UserRowMapper(), d_id);
  }

      提到的引數化的SQL,就是將SQL的可變引數部分和SQL語句主幹區分開,通過方法的方式進行引數的配置。
      在JDBC中並不提倡拼寫SQL的做法,相比之下更推薦PreparedStatement:Statement的子介面,可以傳入帶佔位符的SQL語句,提供了補充佔位符變數的方法,同時也可以對SQL注入語句進行規避處理,是不是和JDBC Template的方法引數簽名很像呢?

      3. 啟動專案,使用Postman進行分別測試,這裡將請求的引數進行處理,模擬SQL注入情景:id = value or 1=1

      1=1為永真,邏輯表示式中or的成立規則為:一真則真、都假才假。上述情況在id不存在或錯誤時仍可以實現where條件的正確性。類比登入等場景,username、password在做驗證的時候被SQL注入後,也會出現上述類似場景,從而實現越過登入驗證,進入操作頁面或系統內部。

      資料現狀:
      在這裡插入圖片描述
      先進行queryForObject單個物件的查詢小測試:

      • 查詢資料庫中存在的資料
        在這裡插入圖片描述
      • 查詢資料庫中不存在的資料
        在這裡插入圖片描述
        控制檯輸出的錯誤為:org.springframework.dao.EmptyResultDataAccessException: Incorrect result size: expected 1, actual 0
        在這裡插入圖片描述
        起初並沒有對這個異常很感興趣,後來進行query方法測試的時候,若返回資料為空,則返回一個空陣列[ ],於是對這個queryForObject產生了興趣。該異常的大體意思是空的結果集,後面還追加說明了結果集的大小,期望返回size=1,實際卻為0。此外,在瀏覽器端的500錯誤也是客戶端使用者不想看到的,於是帶著問題Debug了一下,順便對返回結果進行異常捕獲,返回null。
        在這裡插入圖片描述

      query方法的測試,返回List<User>
      在這裡插入圖片描述

      補充:queryForMap方法可以返回map,使用Map作為查詢結果有非常多的弊端,最嚴重的的弊端是Map本身不適合程式閱讀。通過Map瞭解ResultSet結果集難度較大,以及針對多種資料庫,資料庫欄位型別,Map的弊端越顯嚴重。

    • 修改

      JDBC Template 提供 update 方法來實現SQL的修改語句,包括新增、修改、刪除、執行儲存過程等。

        public void updateInfo(User user) {
    String sql = "update user set name=? and departmet_id=? where id = ?";
    jdbcTempalte.update(sql, user.getName(), user.getDepartmentId(), user.getId());
  }

      資料庫記錄插入操作語句同上,對於MySQL、SqlServer等資料庫,含有自增的主鍵序列,此時需要提供一個KeyHolder來放置返回序列。
      在這裡插入圖片描述

      update方法簽名中需要傳入兩個引數:PreparedStatement物件,keyHolder物件。其中,keyHolder中包含了自增長欄位的結果。但是此處的結果序列無法確定序列型別,需要根據具體業務轉換其序列型別。
      在這裡插入圖片描述

    • NamedParameterJdbcTemplate (提供命名引數繫結的功能)
      相比傳統的JDBCTemplate,使用者只能通過?佔位符宣告引數,並使用索引繫結引數,必須確保方法引數中的索引?佔位符的位置匹配正確,才可以使得方法執行無誤。

      NamedParameterJdbcTemplate模板了支援命名引數變數的SQL,同理在Dao層自動注入NamedParameterJdbcTemplate即可。

      上述:department_id 下 user 數目總和的查詢 可以變更為:

        public Integer totalUserInDepartment2(Long departmentId) {
  	String sql = "select count(1) from user where department_id = :deptId";
  	// SQL引數對映map:k-v形式儲存引數與值
  	MapSqlParameterSource namedParameters = new MapSqlParameterSource();
  	// key:SQL引數;value:方法接受引數 
  	namedParameters.addValue("deptId", departmentId);
  	// 執行方法,將上述引數對映map物件傳入即可
  	Integer count = namedParameterJdbcTemplate.queryForObject(sql, namedParameters, Integer.class);
  	return count;
  }

      總結上述程式碼:

      1. 在SQL語句中,使用:paramName 形式替代 ? 佔位符

      2. MapSqlParameterSource,SQL引數對映map物件,以 k-v 形式儲存引數與值

      3. Spring 提供 SQLParameterSource 類來封裝任意的 JavaBean,為 NamedParameterJdbcTemplate 提供引數。

         public void updateInfoByNamedJdbc(User user) {
   String sql = "update user set name = :name and departmet_id = :departmentId 
 	where id = :id";
   SqlParameterSource source = new BeanPropertySqlParameterSource(user);
   namedParameterJdbcTemplate.update(sql, source);
 }

        這裡需要注意:sql語句中的引數:name、departmentId、id 需要與 user物件的成員屬性對應。

相關推薦

Spring Boot 2.0 讀書筆記_07Spring JDBC Template

5. Spring JDBC Template 寫在開頭,JDBC Template 是 Spring 框架在JDBC基礎上做了一定的封裝。相比當下的DAO層框架,封裝度相對較低,很早之前用過幾次,由於SQL注入的Web攻擊場景,JDBC Template具有很好的防範。 關於S

Spring Boot 2.0 讀書筆記_05Beetl

3. Beetl 寫在開頭,Beetl是由《Spring Boot 2精髓》作者所開發並維護的後端模板引擎,主要用於渲染檢視模板。 關於模板引擎,博主瞭解過的主要是JSP 和 FreeMarker,檢視渲染技術的瞭解並不多。 這裡談一下自己對於Web開發的理解:基於現在的We

Spring Boot 2.0 讀書筆記_04MVC 下

2. MVC 下 驗證框架 關於驗證框架,之前很少用到, 在前端傳遞的引數中,前端框架已經存在一些驗證策略。比如:型別監測、長度監測、日期正則判斷等。因此在後端Controller層中的校驗就很少用到。但實際情況也可能存在有些惡意程式碼繞過前端驗證,直接向後端傳送請求這樣的

Spring Boot 2.0 讀書筆記_03MVC 上

2. MVC 上 寫在開頭,關於MVC,Model - View - Controller模式 Model(模型) - 代表一個存取資料的物件或 JAVA POJO。它也可以帶有邏輯,在資料變化時更新控制器。 View(檢視) - 代表模型包含的資料的視覺化。

Spring Boot 2.0 讀書筆記_02AOP

寫在開頭,自該專欄建立起,9月初發布第一篇文章後,兩個月過去了,專欄文章沒啥進度。處於個人實習原因,以及同步的Vue專欄,所以關於SpringBoot 2.0 的讀書筆記專欄暫時擱置了。 雖然部落格專欄擱置更新,但是技術的使用每天都在使用。基於Spring Boot 2.0 的新特性

Spring Boot 2.0系列文章(五)Spring Boot 2.0 專案原始碼結構預覽

關注我 專案結構 結構分析: Spring-boot-project 核心程式碼,程式碼量很多(197508 行) Spring-boot-samples 一些樣例 demo,程式碼量不多(9685 行),蠻有用的 Spring

第64節:Java中的Spring Boot 2.0簡介筆記

Java中的Spring Boot 2.0簡介筆記 spring boot簡介 依賴java8的執行環境 多模組專案 打包和執行 spring boot是由spring framework構建的,spring framework是javaee的框架,spring framework->

Spring Boot 2.0幹貨系列(一)Spring Boot1.5X升級到2.0指南

大量 gist 博客 指南 gem follow ref contex str 前言Spring Boot已經發布2.0有滿久了,多了很多新特性,一些坑也慢慢被填上,最近有空,就把本博客中Spring Boot幹貨系列對應的源碼從1.5X升級到Spring Boot 2.0

慕課網Spring Boot 2.0深度實踐-初遇Spring Boot 筆記

1、Spring Boot 的角色          基於Spring Framework,同時是Spring Cloud基礎,承上啟下          Spring Framework是一種JavaEE的框架     SpringBoot是一種快速構建Spring的應用

Spring Boot 2.0(一)【重磅】Spring Boot 2.0權威發布

Spring Boot就在昨天Spring Boot2.0.0.RELEASE正式發布,今天早上在發布Spring Boot2.0的時候還出現一個小插曲,將Spring Boot2.0同步到Maven倉庫的時候出現了錯誤,然後Spring Boot官方又趕緊把 GitHub 上發布的 v2.0.0.RELEA

Spring Boot 2.0(二)Spring Boot 2.0嘗鮮-動態 Banner

版本 手動 block OS 動態 posit 下載 網站 dep Spring Boot 2.0 提供了很多新特性,其中就有一個小彩蛋:動態 Banner,今天我們就先拿這個來嘗嘗鮮。 配置依賴 使用 Spring Boot 2.0 首先需要將項目依賴包替換為剛剛發布的

Spring Boot 2.0(三)Spring Boot 開源軟件都有哪些?

Spring Boot 開源 2016年 Spring Boot 還沒有被廣泛使用,在網上查找相關開源軟件的時候沒有發現幾個,到了現在經過2年的發展,很多互聯網公司已經將 Spring Boot 搬上了生產,而使用 Spring Boot 的開源軟件在 Github/碼雲 上面已有不少,這篇文章就給大

Spring Boot 2.0(五)Docker Compose + Spring Boot + Nginx + Mysql 實踐

work 加載 ports access 分享圖片 htm 初始化 visit edi 我知道大家這段時間看了我寫關於 docker 相關的幾篇文章,不疼不癢的,仍然沒有感受 docker 的便利,是的,我也是這樣認為的,I know your felling 。 前期了解

Spring Boot 2.0(六)使用 Docker 部署 Spring Boot 開源軟件雲收

Spring Boot Dokcer 雲收藏 只需三步即可部署開源項目雲收藏,打造專屬個人的收藏系統,就是這麽簡單! 雲收藏項目已經開源2年多了,作為當初剛開始學習 Spring Boot 的練手項目,使用了很多當時很新的技術,現在看來其實很多新技術是沒有必要使用的,但做為學習案例來講確實是一個絕

Spring Boot 2.0(七)Spring Boot 如何解決項目啟動時初始化資源

springboot在我們實際工作中,總會遇到這樣需求,在項目啟動的時候需要做一些初始化的操作,比如初始化線程池,提前加載好加密證書等。今天就給大家介紹一個 Spring Boot 神器,專門幫助大家解決項目啟動初始化資源操作。 這個神器就是 CommandLineRunner,CommandLineRunn

Spring Boot 2.0(二)Spring Boot 開源軟件都有哪些?(轉)

代碼 使用 郵件 cloud -a 分類 系統 vue .com 2016年 Spring Boot 還沒有被廣泛使用,在網上查找相關開源軟件的時候沒有發現幾個,到了現在經過2年的發展,很多互聯網公司已經將 Spring Boot 搬上了生產,而使用 Spring Boot

Spring Boot 2.0(八)Spring Boot 集成 Memcached

ava you 2.0 cal ted 緩存 exceptio .com ride Memcached 介紹 Memcached 是一個高性能的分布式內存對象緩存系統,用於動態Web應用以減輕數據庫負載。它通過在內存中緩存數據和對象來減少讀取數據庫的次數,從而提高動態、數據

Spring基礎快速入門spring boot(7)spring boot 2.0簡單介紹

從這篇文章開始以spring boot2為主要版本進行使用介紹。 Spring boot 2特性 spring boot2在如下的部分有所變化和增強,相關特性在後續逐步展開。 特性增強 基礎元件升級: JDK1.8+ tomcat 8+ Thymeleaf 3

《阿里巴巴MongoDB4.0高階實戰基於Java Spring Boot 2.0》運維、監控、聚合、叢集、監控等高階面試題

《阿里巴巴MongoDB4.0高階實戰》阿里巴巴技術大牛 資深專家P9葉翔、專家徐雷.  NoSQL排名第一!最流行的NoSQL資料庫;谷歌、阿里巴巴、螞蟻金服、騰訊、百度等一線網際網路公司必備技能。 本系列課程涵蓋:MongoDB入門命令、管理、聚合分析、核心架構、資料庫管理、匯入匯出、索引、

《阿里巴巴Java Spring Boot 2.0開發實戰課程》05課三層MVC網站與架構分層誤區、Java面試題

《阿里巴巴Java Spring Boot 2.0開發實戰課程》05課本期分享專家:徐雷—阿里特邀Java講師,MongoDB講師 本期分享主題:三層架構MVC網站與分層架構誤區、Java面試題 國內系統架構設計的文章和書籍。經常會搞錯分層的概念,本課程進行了講解。還有關於model概念的解析,以及Jav