1. PreparedStatement

     PreparedStatement 预处理语句对象，可以避免SQL注入，提高多次执行同一条SQL语句的性能

     SQL注入：就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令

    在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.

     PreparedStatement的占位符：SQL语句中有java变量,该JAVA变量使用?作为占位符,每个?的值必须在该语句执行之前，通过适当的setXXX 方法来提供,如setString();

    执行SQL语句：使用 pstmt.executeQuery();方法来执行查询  ，使用 pstmt.executeUpdate();来执行删除

2.使用.properties属性文件保存数据库连接信息

        在src目录中，创建db.properties属性文件，属性文件中保存数据以key=value的形式，属性文件中不能直接保存中文，属性文件中key,value直接写，没有任何符号

    使用 load(InputStream in); 加载属性文件，例如： prop.load(JdbcUtil.class.getClassLoader().getResourceAsStream("xxx.properties"));

    使用 String getProperty(String key); 根据key获取value，例如：String value = prop.getProperty("jdbc.key");

3.DBCP

DBCP（DataBase Connection Pool）数据库连接池，是java数据库连接池的一种，由Apache开发，通过数据库连接池，可以让程序自动管理数据库连接的释放和断开。单独使用dbcp需要2个包：commons-dbcp.jar  ,  commons-pool.jar  由于建立数据库连接是一个非常耗时耗资源的行为，所以通过连接池预先同数据库建立一些连接，放在内存中，应用程序需要建立数据库连接时直接到连接池中申请一个就行，用完后再放回去。

优点：提高效率，不需要对应所有的请求临时创建新的连接，可以管理连接数，是成熟的连接池组件。

例：

dataSource = new BasicDataSource();//创建DBCP对象

dataSource.setUrl(url); //设置参数 ↓

dataSource.setUsername(user);

dataSource.setPassword(password);

dataSource.setInitialSize(initSize);

dataSource.setMaxActive(maxSize);

dataSource.setMaxWait(maxWait);

4.JDBC中的事务处理

事务：一组操作的逻辑单元， 一组添加 一组删除 一组更新，事务具备四个特性（ACID）。

原子性（Atomicity）：一个事务是一个不可分割的逻辑单元，一个事务中，所有的操作要么都成功，要么都失败。

一致性（Consistency）：事务执行的前后，保证数据的完整性和正确性。

隔离性（Isolation）：多个事务并发执行，事务之间互不干扰

持久性（Durability）：事务一旦提交， 对数据库数据的影响是永久的

————

事务开启：执行第一条增删改SQL语句，事务会自动开启

 事务结束：commit 提交事务 rollback 撤销事务

JDBC默认自动提交事务

 JDBC中事务操作API：

  获取连接对象的默认事务提交方式：boolean getAutoCommit();

  设置连接对象的事务提交方式：void setAutoCommit(boolean bo);

  提交事务：void commit();

  回滚事务：void rollback();

  结论：当出现一组操作（多条insert,update,delete） 的需求，必须关注事务！