JDBC---PreparedStatement操作

上篇播客介绍了SQL注入问题。本播客将介绍PreparedStatement来解决该问题。PreparedStatement：

1 可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象。
2 PreparedStatement 接口是 Statement 的子接口，它表示一条预编译过的 SQL 语句。

3 PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示，调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数，第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始)，第二个是设置的 SQL 语句中的参数的值。

 /**
 * 使用 PreparedStatement 将有效的解决 SQL 注入问题.
 */
@Test
 public void testSQLInjection2() {
  String username = "a' OR PASSWORD = ";
  String password = " OR '1'='1";

  String sql = "SELECT * FROM users WHERE username = ? "
          + "AND password = ?";

  Connection connection = null;
  PreparedStatement preparedStatement = null;
  ResultSet resultSet = null;

  try {
      connection = JDBCTools.getConnection();
      preparedStatement = connection.prepareStatement(sql);

      preparedStatement.setString(1, username);
      preparedStatement.setString(2, password);

      resultSet = preparedStatement.executeQuery();

      if (resultSet.next()) {
          System.out.println("登录成功!");
      } else {
          System.out.println("用户名和密码不匹配或用户名不存在. ");
      }

  } catch (Exception e) {
      e.printStackTrace();
  } finally {
      JDBCTools.releaseDB(resultSet, preparedStatement, connection);
  }
}

PreparedStatement vs Statement
代码的可读性和可维护性. （防止SQL语句写错）
PreparedStatement 能最大可能提高性能：
DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用，所以语句在被DBServer的编译器编译后的执行代码被缓存下来，那么下次调用时只要是相同的预编译语句就不需要编译，只要将参数直接传入编译过的语句执行代码中就会得到执行。

在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次.
(语法检查，语义检查，翻译成二进制命令，缓存)
PreparedStatement 可以防止 SQL 注入
PreparedStatement更新（插入删除更新）操作

@Test
public void testPreparedStatement() {
    Connection connection = null;
    PreparedStatement preparedStatement = null;

    try {
        connection = JDBCTools.getConnection();
        String sql = "INSERT INTO customers (name, email, birth) "
                + "VALUES(?,?,?)";

        preparedStatement = connection.prepareStatement(sql);
        preparedStatement.setString(1, "ATGUIGU");
        preparedStatement.setString(2, "simpleit@163.com");
        preparedStatement.setDate(3,
                new Date(new java.util.Date().getTime()));

        preparedStatement.executeUpdate();
    } catch (Exception e) {
        e.printStackTrace();
    } finally {
        JDBCTools.releaseDB(null, preparedStatement, connection);
    }
}

PreparedStatement查询操作

/**
 * 具体查询学生信息的. 返回一个 Student 对象. 若不存在, 则返回 null
 * 
 * @param searchType
 *            : 1 或 2.
 * @return
 */
private Student searchStudent(int searchType) {

    String sql = "SELECT flowid, type, idcard, examcard,"
            + "studentname, location, grade " + "FROM examstudent "
            + "WHERE ";

    Scanner scanner = new Scanner(System.in);

    // 1. 根据输入的 searchType, 提示用户输入信息:
    // 1.1 若 searchType 为 1, 提示: 请输入身份证号. 若为 2 提示: 请输入准考证号
    // 2. 根据 searchType 确定 SQL
    if (searchType == 1) {
        System.out.print("请输入准考证号:");
        String examCard = scanner.next();
        sql = sql + "examcard = '" + examCard + "'";
    } else {
        System.out.print("请输入身份证号:");
        String examCard = scanner.next();
        sql = sql + "idcard = '" + examCard + "'";
    }

    // 3. 执行查询
    Student student = getStudent(sql);

    // 4. 若存在查询结果, 把查询结果封装为一个 Student 对象

    return student;
}

/**
 * 根据传入的 SQL 返回 Student 对象
 * 
 * @param sql
 * @return
 */
public Student getStudent(String sql, Object... args) {
    Student stu = null;

    Connection connection = null;
    PreparedStatement preparedStatement = null;
    ResultSet resultSet = null;

    try {
        connection = JDBCTools.getConnection();
        preparedStatement = connection.prepareStatement(sql);
        for (int i = 0; i < args.length; i++) {
            preparedStatement.setObject(i + 1, args[i]);
        }
        resultSet = preparedStatement.executeQuery();

        if (resultSet.next()) {
            stu = new Student();
            stu.setFlowId(resultSet.getInt(1));
            stu.setType(resultSet.getInt(2));
            stu.setIdCard(resultSet.getString(3));
            // ...
        }

    } catch (Exception e) {
        e.printStackTrace();
    } finally {
        JDBCTools.releaseDB(resultSet, preparedStatement, connection);
    }

    return stu;
}

/**
 * 从控制台读入一个整数, 确定要查询的类型
 * 
 * @return: 1. 用身份证查询. 2. 用准考证号查询 其他的无效. 并提示请用户重新输入.
 */
private int getSearchTypeFromConsole() {

    System.out.print("请输入查询类型: 1. 用身份证查询. 2. 用准考证号查询 ");

    Scanner scanner = new Scanner(System.in);
    int type = scanner.nextInt();

    if (type != 1 && type != 2) {
        System.out.println("输入有误请重新输入!");
        throw new RuntimeException();
    }

    return type;
}

Student类：

 public class Student {

// 流水号
private int flowId;
// 考试的类型
private int type;
// 身份证号
private String idCard;
// 准考证号
private String examCard;
// 学生名
private String studentName;
// 学生地址
private String location;
// 考试分数.
private int grade;

public int getFlowId() {
    return flowId;
}

public void setFlowId(int flowId) {
    this.flowId = flowId;
}

public int getType() {
    return type;
}

public void setType(int type) {
    this.type = type;
}

public String getIdCard() {
    return idCard;
}

public void setIdCard(String idCard) {
    this.idCard = idCard;
}

public String getExamCard() {
    return examCard;
}

public void setExamCard(String examCard) {
    this.examCard = examCard;
}

public String getStudentName() {
    return studentName;
}

public void setStudentName(String studentName) {
    this.studentName = studentName;
}

public String getLocation() {
    return location;
}

public void setLocation(String location) {
    this.location = location;
}

public int getGrade() {
    return grade;
}

public void setGrade(int grade) {
    this.grade = grade;
}

public Student(int flowId, int type, String idCard, String examCard,
        String studentName, String location, int grade) {
    super();
    this.flowId = flowId;
    this.type = type;
    this.idCard = idCard;
    this.examCard = examCard;
    this.studentName = studentName;
    this.location = location;
    this.grade = grade;
}

public Student() {
    // TODO Auto-generated constructor stub
}

@Override
public String toString() {
    return "Student [flowId=" + flowId + ", type=" + type + ", idCard="
            + idCard + ", examCard=" + examCard + ", studentName="
            + studentName + ", location=" + location + ", grade=" + grade
            + "]";
}

}

最后编辑于：2018.05.24 18:15:12

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 213,864评论 6赞 494
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 91,175评论 3赞 387
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 159,401评论 0赞 349
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 57,170评论 1赞 286
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 66,276评论 6赞 385
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 50,364评论 1赞 292
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 39,401评论 3赞 412
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 38,179评论 0赞 269
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 44,604评论 1赞 306
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 36,902评论 2赞 328
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 39,070评论 1赞 341
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 34,751评论 4赞 337
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 40,380评论 3赞 319
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 31,077评论 0赞 21
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 32,312评论 1赞 267
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 46,924评论 2赞 365
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 43,957评论 2赞 351

JDBC---PreparedStatement操作

推荐阅读更多精彩内容