这篇博客探讨了如何使用PreparedStatement解决SQL注入问题,并详细介绍了JDBC控制事务的步骤。内容包括PreparedStatement的预编译SQL特性,以及如何设置参数。接着,博客提到了数据库连接池的重要性,如C3P0和Druid的配置与使用。最后,文章讨论了Spring JDBC在处理数据库操作和事务管理方面的应用,给出了多个示例操作,如修改、添加、删除和查询记录。
练习:
* 需求:
1. 通过键盘录入用户名和密码
2. 判断用户是否登录成功
例:
import cn.itcast.util.JDBCUtils;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Scanner;
/**
* 练习:
* * 需求:
* 1. 通过键盘录入用户名和密码
* 2. 判断用户是否登录成功
*/
public class JDBCDemo9 {
public static void main(String[] args) {
//1 键盘输入,接收用户名和密码
Scanner sc = new Scanner(System.in);
System.out.println("请登录");
String username = sc.nextLine();
System.out.println("请输入密码");
String password = sc.nextLine();
//2 调用方法
boolean flag = new JDBCDemo9().login(username, password);
//3 判断结果, 输出不同的语句
if(flag = true){
System.out.println("成功");
}else {
System.out.println("失败");
}
}
//登录方法
public boolean login(String username, String password) {
if (username == null || password == null) {
}
Connection conn = null;
Statement stmt = null;
ResultSet rs = null;
//1 获取连接
try {
conn = JDBCUtils.getConnection();
//2 定义sql
String sql = "select * from user where username = '" + username + "' and password = '" + password + "' ";
//3 获取执行sql对象
stmt = conn.createStatement();
//4 执行查询
rs = stmt.executeQuery(sql);
//5 判断
return rs.next(); //如果有下一行返回true
} catch (SQLException e) {
e.printStackTrace();
} finally {
//6 关闭资源
JDBCUtils.close(rs, stmt, conn);
}
return false;
}
}
PreparedStatement:执行sql的对象
1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题
1. 输入用户随便,输入密码:a’ or ‘a’ = 'a
2. sql:select * from user where username = ‘fhdsjkf’ and password = ‘a’ or ‘a’ = ‘a’
-
解决sql注入问题:使用PreparedStatement对象来解决
3. 预编译的SQL:参数使用?作为占位符
4. 步骤:
1. 导入驱动jar包 mysql-connector-java-5.1.37-bin.jar
2. 注册驱动
3. 获取数据库连接对象 Connection
4. 定义sql
* 注意:sql的参数使用?作为占位符。 如:select * from user where username = ? and password = ?;
5. 获取执行sql语句的对象 PreparedStatement Connection.prepareStatement(String sql)
6. 给?赋值:
* 方法: setXxx(参数1,参数2)
* 参数1:?的位置编号 从1 开始
* 参数2:?的值
7. 执行sql,接受返回结果,不需要传递sql语句
8. 处理结果
9. 释放资源5. 注意:后期都会使用PreparedStatement来完成增删改查的所有操作 1. 可以防止SQL注入 2. 效率更高
例:
//登录方法
public boolean login2(String username, String password) {
if (username == null || password == null) {
return false;
}
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
//1 获取连接
try {
conn = JDBCUtils.getConnection();
//2 定义sql
String sql = "select * from user where username = ? and password = ? ";
//3 获取执行sql对象
pstmt = conn.prepareStatement(sql);
// 给?赋值
pstmt.setString(1,username);
pstmt.setString(2,password);
//4 执行查询
rs = pstmt.executeQuery();
//5 判断
return rs.next(); //如果有下一行返回true
} catch (SQLException e) {
e.printStackTrace();
} finally {
//6 关闭资源
JDBCUtils.close(rs, pstmt, conn);
}
return false;
}
JDBC控制事务:
1. 事务:一个包含多个步骤的业务操作。如果这个业务操作被事务管理,则这多个步骤要么同时成功,要么同时失败。
2. 操作:
1. 开启事务
2. 提交事务
3. 回滚事务
3. 使用Connection对象来管理事务
* 开启事务:setAutoCommit(boolean autoCommit) :调用该方法设置参数为false,即开启事务
* 在执行sql之前开启事务
* 提交事务:commit()
* 当所有sql都执行完提交事务
* 回滚事务:rollback()
* 在catch中回滚事务
例:
import cn.itcast.util.JDBCUtils;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class JDBCDemo10 {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement pstmt2 = null;
PreparedStatement pstmt1 = null;
//1 获取连接
try {
conn = JDBCUtils.getConnection();
// 开启事物
conn.setAutoCommit(false);
// 2 定义sql
// 张三 - 500
// lisi + 500
String sql1 = "Update account set balance = balance - ? where id = ?";
String sql2 = "Update account set balance = balance + ? where id = ?";
// 3 获取执行sql对象
pstmt1 = conn.prepareStatement(sql1);
pstmt2 = conn.prepareStatement(sql2);
// 4 设置参数
pstmt1.setDouble(1,500);
pstmt1.setInt(2,1);
pstmt2.setDouble(1,500);
pstmt2.setInt(2,2);
//5 执行sql
pstmt1.executeUpdate();
pstmt2.executeUpdate();
// 提交事物
conn.commit();
} catch (SQLException e) {
// 回滚事物
if(conn!= null){
try {
conn.rollback();
} catch (SQLException ex) {
ex.printStackTrace();
}
}
e.printStackTrace();
}finally {
JDBCUtils.close(pstmt1,conn);
JDBCUtils.close(pstmt2,null);
}
}
}
数据库连接池
1. 概念:其实就是一个容器(集合),存放数据库连接的容器。
当系统初始化好后,容器被创建,容器中会申请一些连接对象,当用户来访问数据库时,从容器中获取连接对象,用户访问完之后,会将连接对象归还给容器。
2. 好处:
1. 节约资源
2. 用户访问高效
3. 实现:
1. 标准接口:DataSource javax.sql包下的
1. 方法:
* 获取连接:getConnection()
* 归还连接:Connection.close()。如果连接对象Connection是从连接池中获取的,那么调用Connection.close()方法,则不会再关闭连接了。而是归还连接
2. 一般我们不去实现它,有数据库厂商来实现
1. C3P0:数据库连接池技术
2. Druid:数据库连接池实现技术,由阿里巴巴提供的
-
C3P0:数据库连接池技术
* 步骤:
1. 导入jar包 (两个) c3p0-0.9.5.2.jar mchange-commons-java-0.2.12.jar ,
* 不要忘记导入数据库驱动jar包
2. 定义配置文件:
* 名称: c3p0.properties 或者 c3p0-config.xml
* 路径:直接将文件放在src目录下即可。3. 创建核心对象 数据库连接池对象 ComboPooledDataSource 4. 获取连接: getConnection
例:
//c3p0演示
import com.mchange.v2.c3p0.ComboPooledDataSource;
import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.SQLException;
public class C3P0Demo01 {
public static void main(String[] args) throws SQLException {
//1 创建数据库连接池对象
DataSource ds = new ComboPooledDataSource();
//2 获取连接对象
Connection conn = ds.getConnection();
//3 打印
System.out.println(conn);
}
}
//c3p0演示
import com.mchange.v2.c3p0.ComboPooledDataSource;
import javax.sql.DataSource;
import java.sql.Connection;
import java.sql.SQLException;
public class c3p0Demo2 {
public static void main(String[] args) throws SQLException {
/* //1 获取DataSource
DataSource ds = new ComboPooledDataSource();
// 1.1 获取DateSource,使用指定名称配置
// 获取连接
for (int i = 0; i < 10; i++) {
Connection conn = ds.getConnection();
System.out.println(conn);
if (i == 5){
conn.close();
}
}
*/
testNameDconfig();
}
public static void testNameDconfig() throws SQLException {
// 1.1 获取DateSource,使用指定名称配置
DataSource ds = new ComboPooledDataSource("otherc3p0");
// 获取连接
for (int i = 0; i < 10; i++) {
Connection conn = ds.getConnection();
System.out.println(conn);
if (i == 5){
conn.close();
}
}
}
}
- Druid:数据库连接池实现技术,由阿里巴巴提供的
1. 步骤:
1. 导入jar包 druid-1.0.9.jar
2. 定义配置文件:
* 是properties形式的
* 可以叫任意名称,可以放在任意目录下
3. 加载配置文件。Properties
4. 获取数据库连接池对象:通过工厂来来获取 DruidDataSourceFactory
5. 获取连接:getConnection
例:
//Durid演示
import com.alibaba.druid.pool.DruidDataSourceFactory;
import javax.sql.DataSource;
import java.io.IOException;
import java.io.InputStream;
import java.sql.Connection;
import java.util.Properties;
public class DruidDemo1 {
public static void main(String[] args) throws Exception {
//1 导入jar包
//2 配置文件
//3 加载配置文件
Properties pro = new Properties();
InputStream is = DruidDemo1.class.getClassLoader().getResourceAsStream("druid.properties");
pro.load(is);
//4 获取连接池对象
DataSource ds = DruidDataSourceFactory.createDataSource(pro);
//5 获取连接
Connection conn = ds.getConnection();
System.out.println(conn);
}
}
- 定义工具类
1. 定义一个类 JDBCUtils
2. 提供静态代码块加载配置文件,初始化连接池对象
3. 提供方法
1. 获取连接方法:通过数据库连接池获取连接
2. 释放资源
3. 获取连接池的方法
例:
// Druid连接池工具类
import com.alibaba.druid.pool.DruidDataSourceFactory;
import javax.sql.DataSource;
import java.io.IOException;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;
public class JDBCUtils {
//1 定义成员变量 DataSource
private static DataSource ds;
static {
//1 加载配置文件
Properties pro = new Properties();
try {
pro.load(JDBCUtils.class.getClassLoader().getResourceAsStream("druid.properties"));
//2 获取dataSource
try {
ds = DruidDataSourceFactory.createDataSource(pro);
} catch (Exception e) {
e.printStackTrace();
}
} catch (IOException e) {
e.printStackTrace();
}
}
// 获取连接
public static Connection getConnection() throws SQLException {
return ds.getConnection();
}
// 释放资源
public static void close(Statement stmt, Connection conn){
if(stmt != null){
try {
stmt.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(conn != null){
try {
conn.close();//归还连接
} catch (SQLException e) {
e.printStackTrace();
}
}
}
public static void close(ResultSet rs , Statement stmt, Connection conn){
if(rs != null){
try {
rs.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(stmt != null){
try {
stmt.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
if(conn != null){
try {
conn.close();//归还连接
} catch (SQLException e) {
e.printStackTrace();
}
}
}
// 获取连接池方法
public static DataSource getDataSource(){
return ds;
}
}
演示:
// 使用新的工具类
import cn.itcast.datasource.utils.JDBCUtils;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
public class DruidDemo2 {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement pstmt = null;
//完成添加操作
//1 获取连接
try {
conn = JDBCUtils.getConnection();
//2 定义sql;
String sql = "insert into account values(null,?,?)";
//3 获取pstmt对象
pstmt = conn.prepareStatement(sql);
//4 赋值
pstmt.setString(1,"z");
pstmt.setDouble(2,3000);
//5 执行sql
int count = pstmt.executeUpdate();
System.out.println(count);
} catch (SQLException e) {
e.printStackTrace();
}finally {
// 释放资源
JDBCUtils.close(pstmt,conn);
}
}
}
Spring JDBC
* Spring框架对JDBC的简单封装。提供了一个JDBCTemplate对象简化JDBC的开发
* 步骤:
1. 导入jar包
2. 创建JdbcTemplate对象。依赖于数据源DataSource
* JdbcTemplate template = new JdbcTemplate(ds);
3. 调用JdbcTemplate的方法来完成CRUD的操作
* update():执行DML语句。增、删、改语句
* queryForMap():查询结果将结果集封装为map集合,将列名作为key,将值作为value 将这条记录封装为一个map集合
* 注意:这个方法查询的结果集长度只能是1
* queryForList():查询结果将结果集封装为list集合
* 注意:将每一条记录封装为一个Map集合,再将Map集合装载到List集合中
* query():查询结果,将结果封装为JavaBean对象
* query的参数:RowMapper
* 一般我们使用BeanPropertyRowMapper实现类。可以完成数据到JavaBean的自动封装
* new BeanPropertyRowMapper<类型>(类型.class)
* queryForObject:查询结果,将结果封装为对象
* 一般用于聚合函数的查询
例:
//JDBCTemplate入门
import cn.itcast.datasource.utils.JDBCUtils;
import org.springframework.jdbc.core.JdbcTemplate;
public class jdbcTemplateDemo1 {
public static void main(String[] args) {
//1 导入jar包
//2 创建JDBCTemplate对象
JdbcTemplate template = new JdbcTemplate(JDBCUtils.getDataSource());
//3 调用方法
String sql = "update account set balance = 5000 where id = ?";
int count = template.update(sql, 4);
System.out.println(count);
}
}
- 练习:
* 需求:
1. 修改1号数据的 salary 为 10000
2. 添加一条记录
3. 删除刚才添加的记录
4. 查询id为1的记录,将其封装为Map集合
5. 查询所有记录,将其封装为List
6. 查询所有记录,将其封装为Emp对象的List集合
7. 查询总记录数
例:
import cn.itcast.datasource.utils.JDBCUtils;
import cn.itcast.domain.Emp;
import org.junit.Test;
import org.springframework.jdbc.core.BeanPropertyRowMapper;
import org.springframework.jdbc.core.JdbcTemplate;
import org.springframework.jdbc.core.RowMapper;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Date;
import java.util.List;
import java.util.Map;
public class jdbcTemplateDemo2 {
//Junit单元测试,可以让方法独立执行
//1 获取JDBCTemplate对象
private JdbcTemplate jdbcTemplate = new JdbcTemplate(JDBCUtils.getDataSource());
/**
* 1. 修改1号数据的 salary 为 10000
*/
@Test
public void Test1(){
//2 定义sql
String sql = "update emp set salary = 10000 where id = 1001";
//3 执行sql
int count = jdbcTemplate.update(sql);
System.out.println(count);
}
/**
* 2. 添加一条记录
*/
@Test
public void Test2(){
String sql = "insert into emp(id,ename,dept_id) values(?,?,?)";
int count = jdbcTemplate.update(sql, 1015, "zzz", 10);
System.out.println(count);
}
/**
* 3.删除刚才添加的记录
*/
@Test
public void test3(){
String sql = "delete from emp where id = ?";
int count = jdbcTemplate.update(sql, 1015);
System.out.println(count);
}
/**
* 4.查询id为1001的记录,将其封装为Map集合
* 注意:这个方法查询的结果集长度只能是1
*/
@Test
public void test4(){
String sql = "select * from emp where id = ?";
Map<String, Object> map = jdbcTemplate.queryForMap(sql, 1001);
System.out.println(map);
//{id=1001, ename=孙悟空, job_id=4, mgr=1004, joindate=2000-12-17, salary=10000.00, bonus=null, dept_id=20}
}
/**
* 5. 查询所有记录,将其封装为List
*/
@Test
public void test5(){
String sql = "select * from emp";
List<Map<String, Object>> list = jdbcTemplate.queryForList(sql);
for (Map<String, Object> stringObjectMap : list) {
System.out.println(stringObjectMap);
}
}
/**
* 6. 查询所有记录,将其封装为Emp对象的List集合
*/
@Test
public void test6(){
String sql = "select * from emp";
/* List<Emp> list = jdbcTemplate.query(sql, new RowMapper<Emp>() {
@Override
public Emp mapRow(ResultSet rs, int i) throws SQLException {
Emp emp = new Emp();
int id = rs.getInt("id");
String ename = rs.getString("ename");
int job_id = rs.getInt("job_id");
int mgr = rs.getInt("mgr");
Date joindate = rs.getDate("joindate");
double salary = rs.getDouble("salary");
double bonus = rs.getDouble("bonus");
int dept_id = rs.getInt("dept_id");
emp.setId(id);
emp.setEname(ename);
emp.setJob_id(job_id);
emp.setMgr(mgr);
emp.setJoindate(joindate);
emp.setSalary(salary);
emp.setBonus(bonus);
emp.setDept_id(dept_id);
return emp;
}
});
for (Emp emp : list) {
System.out.println(emp);
}*/
List<Emp> list = jdbcTemplate.query(sql, new BeanPropertyRowMapper<Emp>(Emp.class));
for (Emp emp : list) {
System.out.println(emp);
}
}
/**
* 7. 查询总记录数
*/
@Test
public void test7(){
String sql = "select count(id) from emp";
Long total = jdbcTemplate.queryForObject(sql, Long.class);
System.out.println(total);
}
}
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
