1. PreparedStatement
PreparedStatement 预处理语句对象,可以避免SQL注入,提高多次执行同一条SQL语句的性能
SQL注入:就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令
在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.
PreparedStatement的占位符:SQL语句中有java变量,该JAVA变量使用?作为占位符,每个?的值必须在该语句执行之前,通过适当的setXXX 方法来提供,如setString();
执行SQL语句:使用 pstmt.executeQuery();方法来执行查询 ,使用 pstmt.executeUpdate();来执行删除
2.使用.properties属性文件保存数据库连接信息
在src目录中,创建db.properties属性文件,属性文件中保存数据以key=value的形式,属性文件中不能直接保存中文,属性文件中key,value直接写,没有任何符号
使用 load(InputStream in); 加载属性文件,例如: prop.load(JdbcUtil.class.getClassLoader().getResourceAsStream("xxx.properties"));
使用 String getProperty(String key); 根据key获取value,例如:String value = prop.getProperty("jdbc.key");
3.DBCP
DBCP(DataBase Connection Pool)数据库连接池,是java数据库连接池的一种,由Apache开发,通过数据库连接池,可以让程序自动管理数据库连接的释放和断开。单独使用dbcp需要2个包:commons-dbcp.jar , commons-pool.jar 由于建立数据库连接是一个非常耗时耗资源的行为,所以通过连接池预先同数据库建立一些连接,放在内存中,应用程序需要建立数据库连接时直接到连接池中申请一个就行,用完后再放回去。
优点:提高效率,不需要对应所有的请求临时创建新的连接,可以管理连接数,是成熟的连接池组件。
例:
dataSource = new BasicDataSource();//创建DBCP对象
dataSource.setUrl(url); //设置参数 ↓
dataSource.setUsername(user);
dataSource.setPassword(password);
dataSource.setInitialSize(initSize);
dataSource.setMaxActive(maxSize);
dataSource.setMaxWait(maxWait);
4.JDBC中的事务处理
事务:一组操作的逻辑单元, 一组添加 一组删除 一组更新,事务具备四个特性(ACID)。
原子性(Atomicity):一个事务是一个不可分割的逻辑单元,一个事务中,所有的操作要么都成功,要么都失败。
一致性(Consistency):事务执行的前后,保证数据的完整性和正确性。
隔离性(Isolation):多个事务并发执行,事务之间互不干扰
持久性(Durability):事务一旦提交, 对数据库数据的影响是永久的
————
事务开启:执行第一条增删改SQL语句,事务会自动开启
事务结束:commit 提交事务 rollback 撤销事务
JDBC默认自动提交事务
JDBC中事务操作API:
获取连接对象的默认事务提交方式:boolean getAutoCommit();
设置连接对象的事务提交方式:void setAutoCommit(boolean bo);
提交事务:void commit();
回滚事务:void rollback();
结论:当出现一组操作(多条insert,update,delete) 的需求,必须关注事务!
