Java中JDBC的PreparedStatement用法
PreparedStatement
l 它是Statement介面的子介面;
l 強大之處:
Ø 防SQL攻擊;
Ø 提高程式碼的可讀性、可維護性;
Ø 提高效率!
l 學習PreparedStatement的用法:
Ø 如何得到PreparedStatement物件:
¨ 給出SQL模板!
¨ 呼叫Connection的PreparedStatement prepareStatement(String sql模板);
¨ 呼叫pstmt的setXxx()系列方法sql模板中的?賦值!
¨ 呼叫pstmt的executeUpdate()或executeQuery(),但它的方法都沒有引數。
l 預處理的原理
Ø 伺服器的工作:
¨ 校驗sql語句的語法!
¨ 編譯:一個與函式相似的東西!
¨ 執行:呼叫函式
Ø PreparedStatement:
¨ 前提:連線的資料庫必須支援預處理!幾乎沒有不支援的!
¨ 每個pstmt都與一個sql模板繫結在一起,先把sql模板給資料庫,資料庫先進行校驗,再進行編譯。執行時只是把引數傳遞過去而已!
¨ 若二次執行時,就不用再次校驗語法,也不用再次編譯!直接執行!
什麼是SQL攻擊
在需要使用者輸入的地方,使用者輸入的是SQL語句的片段,終端使用者輸入的SQL片段與我們DAO中寫的SQL語句合成一個完整的SQL語句!例如使用者在登入時輸入的使用者名稱和密碼都是為SQL語句的片段!
演示SQL攻擊
首先我們需要建立一張使用者表,用來儲存使用者的資訊。
|
CREATE TABLE user( uid CHAR(32) PRIMARY KEY, username VARCHAR(30) UNIQUE KEY NOT NULL, password VARCHAR(30) ); INSERT INTO user VALUES('U_1001', 'cloud', 'cloud'); SELECT * FROM user; |
現在使用者表中只有一行記錄,就是zs。
下面我們寫一個login()方法!
|
public Connection con = null; Statement stmt = null; ResultSet rs = null; try { con = JdbcUtils.getConnection(); stmt = con.createStatement(); String sql = "SELECT * FROM user WHERE " + "username='" + username + "' and password='" + password + "'"; rs = stmt.executeQuery(sql); if(rs.next()) { System.out.println("歡迎" + rs.getString("username")); } else { System.out.println("使用者名稱或密碼錯誤!"); } } catch (Exception e) { throw new RuntimeException(e); } finally { JdbcUtils.close(con, stmt, rs); } } |
下面是呼叫這個方法的程式碼:
|
login("a' or 'a'='a", "a' or 'a'='a"); |
這行當前會使我們登入成功!因為是輸入的使用者名稱和密碼是SQL語句片段,最終與我們的login()方法中的SQL語句組合在一起!我們來看看組合在一起的SQL語句:
|
SELECT * FROM tab_user WHERE username='a' or 'a'='a' and password='a' or 'a'='a' |
防止SQL攻擊
l 過濾使用者輸入的資料中是否包含非法字元;
l 分步交驗!先使用使用者名稱來查詢使用者,如果查詢到了,再比較密碼;
l 使用PreparedStatement。
PreparedStatement是什麼?
PreparedStatement也叫預編譯宣告!
PreparedStatement是Statement的子介面,你可以使用PreparedStatement來替換Statement。
PreparedStatement的好處:
l 防止SQL攻擊;
l 提高程式碼的可讀性,以可維護性;
l 提高效率。
PreparedStatement的使用
l 使用Connection的prepareStatement(Stringsql):即建立它時就讓它與一條SQL模板繫結;
l 呼叫PreparedStatement的setXXX()系列方法為問號設定值
l 呼叫executeUpdate()或executeQuery()方法,但要注意,呼叫沒有引數的方法;
|
String sql = “select * from tab_student where s_number=?”; PreparedStatement pstmt = con.prepareStatement(sql); pstmt.setString(1, “S_1001”); ResultSet rs = pstmt.executeQuery(); rs.close(); pstmt.clearParameters(); pstmt.setString(1, “S_1002”); rs = pstmt.executeQuery(); |
在使用Connection建立PreparedStatement物件時需要給出一個SQL模板,所謂SQL模板就是有“?”的SQL語句,其中“?”就是引數。
在得到PreparedStatement物件後,呼叫它的setXXX()方法為“?”賦值,這樣就可以得到把模板變成一條完整的SQL語句,然後再呼叫PreparedStatement物件的executeQuery()方法獲取ResultSet物件。
注意PreparedStatement物件獨有的executeQuery()方法是沒有引數的,而Statement的executeQuery()是需要引數(SQL語句)的。因為在建立PreparedStatement物件時已經讓它與一條SQL模板繫結在一起了,所以在呼叫它的executeQuery()和executeUpdate()方法時就不再需要引數了。
PreparedStatement最大的好處就是在於重複使用同一模板,給予其不同的引數來重複的使用它。這才是真正提高效率的原因。
所以,建議大家在今後的開發中,無論什麼情況,都去需要PreparedStatement,而不是使用Statement。
JdbcUtils工具類
JdbcUtils的作用
連線資料庫的四大引數是:驅動類、url、使用者名稱,以及密碼。這些引數都與特定資料庫關聯,如果將來想更改資料庫,那麼就要去修改這四大引數,那麼為了不去修改程式碼,我們寫一個JdbcUtils類,讓它從配置檔案中讀取配置引數,然後建立連線物件。
JdbcUtils程式碼
JdbcUtils.java
|
public class JdbcUtils { private static final String dbconfig = "dbconfig.properties"; private static Properties prop = new Properties(); static { try { InputStream in = Thread.currentThread().getContextClassLoader().getResourceAsStream(dbconfig); prop.load(in); Class.forName(prop.getProperty("driverClassName")); } catch(IOException e) { throw new RuntimeException(e); } } public static Connection getConnection() { try { return DriverManager.getConnection(prop.getProperty("url"), prop.getProperty("username"), prop.getProperty("password")); } catch (Exception e) { throw new RuntimeException(e); } } } |
dbconfig.properties
|
driverClassName=com.mysql.jdbc.Driver url=jdbc:mysql://localhost:3306/mydb1?useUnicode=true&characterEncoding=UTF8 username=root password=123 |
時間型別
Java中的時間型別
java.sql包下給出三個與資料庫相關的日期時間型別,分別是:
l Date:表示日期,只有年月日,沒有時分秒。會丟失時間;
l Time:表示時間,只有時分秒,沒有年月日。會丟失日期;
l Timestamp:表示時間戳,有年月日時分秒,以及毫秒。
這三個類都是java.util.Date的子類。
時間型別相互轉換
把資料庫的三種時間型別賦給java.util.Date,基本不用轉換,因為這是把子類物件給父類的引用,不需要轉換。
java.sql.Date date
java.util.Date d = date;
java.sql.Time time
java.util.Date d = time;
java.sql.Timestamp timestamp
java.util.Date d = timestamp;
當需要把java.util.Date轉換成資料庫的三種時間型別時,這就不能直接賦值了,這需要使用資料庫三種時間型別的構造器。java.sql包下的Date、Time、TimeStamp三個類的構造器都需要一個long型別的引數,表示毫秒值。建立這三個型別的物件,只需要有毫秒值即可。我們知道java.util.Date有getTime()方法可以獲取毫秒值,那麼這個轉換也就不是什麼問題了。
java.utl.Date d= new java.util.Date();
java.sql.Datedate = new java.sql.Date(d.getTime());//會丟失時分秒
Time time = newTime(d.getTime());//會丟失年月日
Timestamptimestamp = new Timestamp(d.getTime());
程式碼描述
我們來建立一個dt表:
|
CREATE TABLE timeTest( d DATE, t TIME, ts TIMESTAMP ) |
下面是向dt表中插入資料的程式碼:
|
@Test public void fun1() throws SQLException { Connection con = JdbcUtils.getConnection(); String sql = "insert into timeTest value(?,?,?)"; PreparedStatement pstmt = con.prepareStatement(sql); java.util.Date d = new java.util.Date(); pstmt.setDate(1, new java.sql.Date(d.getTime())); pstmt.setTime(2, new Time(d.getTime())); pstmt.setTimestamp(3, new Timestamp(d.getTime())); pstmt.executeUpdate(); } |
下面是從timeTest表中查詢資料的程式碼:
|
@Test public void fun2() throws SQLException { Connection con = JdbcUtils.getConnection(); String sql = "select * from timeTest "; PreparedStatement pstmt = con.prepareStatement(sql); ResultSet rs = pstmt.executeQuery(); rs.next(); java.util.Date d1 = rs.getDate(1); java.util.Date d2 = rs.getTime(2); java.util.Date d3 = rs.getTimestamp(3); System.out.println(d1); System.out.println(d2); System.out.println(d3); } |
批處理
Statement批處理
批處理就是一批一批的處理,而不是一個一個的處理!
當你有10條SQL語句要執行時,一次向伺服器傳送一條SQL語句,這麼做效率上很差!處理的方案是使用批處理,即一次向伺服器傳送多條SQL語句,然後由伺服器一次性處理。
批處理只針對更新(增、刪、改)語句,批處理沒有查詢什麼事兒!
可以多次呼叫Statement類的addBatch(Stringsql)方法,把需要執行的所有SQL語句新增到一個“批”中,然後呼叫Statement類的executeBatch()方法來執行當前“批”中的語句。
l void addBatch(String sql):新增一條語句到“批”中;
l int[] executeBatch():執行“批”中所有語句。返回值表示每條語句所影響的行資料;
l void clearBatch():清空“批”中的所有語句。
|
for(int i = 0; i < 10; i++) { String number = "S_10" + i; String name = "stu" + i; int age = 20 + i; String gender = i % 2 == 0 ? "male" : "female"; String sql = "insert into stu values('" + number + "', '" + name + "', " + age + ", '" + gender + "')"; stmt.addBatch(sql); } stmt.executeBatch(); |
當執行了“批”之後,“批”中的SQL語句就會被清空!也就是說,連續兩次呼叫executeBatch()相當於呼叫一次!因為第二次呼叫時,“批”中已經沒有SQL語句了。
還可以在執行“批”之前,呼叫Statement的clearBatch()方法來清空“批”!
PreparedStatement批處理
PreparedStatement的批處理有所不同,因為每個PreparedStatement物件都繫結一條SQL模板。所以向PreparedStatement中新增的不是SQL語句,而是給“?”賦值。
|
con = JdbcUtils.getConnection(); String sql = "insert into stu values(?,?,?,?)"; pstmt = con.prepareStatement(sql); for(int i = 0; i < 10; i++) { pstmt.setString(1, "S_10" + i); pstmt.setString(2, "stu" + i); pstmt.setInt(3, 20 + i); pstmt.setString(4, i % 2 == 0 ? "male" : "female"); pstmt.addBatch(); } pstmt.executeBatch(); |