Unit02: JDBC核心API

JDBC 核心API

JAVAJSD_V01JDBCDAY02_003.png

Statement

Statement执行查询

  • 创建Statement的方式:
    Connection.createStatement();

  • 执行INSERT,UPDATE和DELETE:
    Statement.executeUpdate()

  • 执行SELECT:
    Statement.executeQuery()

      String sql = "select empno,ename,sal,hiredate from emp";
      Statement stmt = con.createStatement();
      ResultSet rs = stmt.executeQuery(sql);
      //对rs的处理
      stmt.close();
    

executeQuery()方法将返回SQL语句执行后的结果集

Statemeent执行插入

    String sql = "insert into emp(empno,ename,jop,sal) values(1001,'张三丰',‘Manager’ 9500)";

    int flag = -1;

    try{
        conn = ConnectionSource.getConnection();
        stmt = con.createStatement();
        flag = stmt.executeUpdate(sql);
        //处理结果
    }catch(){
        //处理异常
    }

executeUpdate() 方法将返回SQL语句执行后影响的记录数

Statement执行更改

和INSERT操作完全相同,只是SQL语句不同
String sql = "update emp set sal = 9900 where empno = 1001";
int flag = -1;
try{
con = ConnectionSource.getConnection();
stmt = con.createStatement();
flag = stmt.executeUpdate(sql);
//处理结果
}catch(){
//处理异常
}

PreparedStatement

PreparedStatement原理

  • Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句
  • Statement每执行一次都要对传入的SQL语句编译一次,效率较差
  • 某些情况下,SQL语句只是其中的参数有所不同,其余字句完全相同,适用于PreparedStatement
  • 预防sql注入攻击
  • PreparedStatement是接口,继承自Statement
  • SQL语句提前编译,三种常用方法execute、executeQuery和executeUpdate已被更改,不再需要参数
2017-11-23 20-49-32屏幕截图.png
  • PreparedStatement实例包含已事先编译的SQL语句
  • SQL语句可有一个或多个IN参数
    IN参数的值在SQL语句创建时未被指定。该语句为每个IN参数保留一个问号(“?”)作为占位符
    每个问号的值必须在该语句执行之前,通过适当的setInt或者setString 方法提供。
  • 由于PreparedStatement对象已编译过,所以其执行速度快于Statement对象。因此,多次执行的SQL语句经常创建为PreparedStatement对象,以提高效率。
  • 批量处理

PreparedStatement pstmt = con.prepareStatement("UPDATE emp SET job=? WHERE empno=?");
SQL语句已发送给数据库,并编译号为执行作号准备
pstmt.setString(1,"Manager");
pstmt.setInt(2,1001);
对占位符进行初始化
pstmt.executeUpdate();
执行SQL语句

通过PS提升性能

JAVAJSD_V01JDBCDAY02_015.png
  • 数据库具备缓存功能,可以对statement的执行计划进行缓存,以避免重复分析
  • 缓存原理:
    • 使用statemenet本身作为key并将执行计划存入与statement对应的缓存中
    • 对曾经执行过的statements,再运行时执行计划将重用
  • 举例:

    • SELECT a,b FROM t WHERE c = 1;
    • 再次发送相同的statemenet时,数据库会对先前使用过的执行计划进行重用,降低开销
  • 悲剧:

    • SELECT a,b FROM t WHERE c = 1;
    • SELECT a,b FROM t WHERE c = 2;

被视作不同的SQL语句,执行计划不可重用

String sql = "select a,b from t where c = ?";
PrearedStatemenet ps = conn.prepareStatement(sql);
    for(){
        ps.setInt(1,i);
        ResultSet rs = ps.executeQuery();
        rs.close();
        ps.close();
    }

SQL Injection简介

  • 场景:
    String sql = "select * from t where username = '"+name+"'+and password='"+password+"';

  • 输入参数后,数据库接受到完整sql语句将是:
    select * from t where username = 'scott' and password = 'tiger';

  • 如果用户输入的passwd参数是:a 'or' 'b' ='b,则数据库收到的SQL语句将是:

    select * from t where username = 'scott' and password = 'a' or 'b' = 'b';

    此SQL语句的where条件将永远为true 此现象被称作SQL注入

通过PS防止SQL Injection

  • 对JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement无效,因为Prepare
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容