javaWeb_JDBC_PreparedStatemment的使用

Posted 德墨特尔

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了javaWeb_JDBC_PreparedStatemment的使用相关的知识,希望对你有一定的参考价值。


JDBC基础_PreparedStatement


1.使用PreparedStatement的好处(why)

(1).PreparedStatement是Statement的子接口,可以传入带占位符的sql语句,并提供补充占位符变量的方法。

(2).在使用Statement的时候需要进行sql的拼写,容易出错,而且很麻烦,使用PreparedStatement的时候可以避免拼写。

(3).可以防止sql注入
SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,
从而利用系统的 SQL 引擎完成恶意行为的做法对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement 取代 Statement 就可以了

(4).PreparedStatement 能最大可能提高性能
DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,
那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行。
在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句
编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次


2.如何使用PreparedStatement(how)

(1).创建PreParedStatement对象

(2).改变sql以及传入sql的参数,并调用PreparedStatement(sql)方法
如:
String sql = "insert student values(?,?,?,?,?,?)";
PreparedStatement ps = conn.PreparedStatement(sql);

(3).调用PreparedStatement的setXxx(int index,Object values);对sql中的参数赋值(也即是占位符)
注意:index索引值从1开始

(4).执行sql语句,调用相应的executeQuery()或者是executeUpdate()方法,注意这俩个方法中不需要再传入sql语句。


3.代码测试

(1).一个基本的sql代码测试

/**
* PreParedStatement使用测试
*
*/
public static void testPreparedStatement(){
Connection connection = null;
PreparedStatement preparedStatement = null;

try {
connection = JDBCTools.getConnection();
String sql = "INSERT INTO teacher (name, email, birth) VALUES(?,?,?)";

preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, "张三");
preparedStatement.setString(2, "[email protected]");
//注意这里面对Date的处理sql-Date包装一个util-Date
preparedStatement.setDate(3,new Date(new java.util.Date().getTime()));

preparedStatement.executeUpdate();
} catch (Exception e) {
e.printStackTrace();
} finally {
JDBCTools.releaseDB(null, preparedStatement, connection);
}
}

//省略JDBCTools

(2).PreParedStatement操作对象测试(可变参数的使用)[*****]

//添加的方法

/**
* 执行 SQL 语句, 使用 PreparedStatement
* @param sql
* @param args: 填写 SQL 占位符的可变参数
*/
public static void update(String sql, Object ... args){
Connection connection = null;
PreparedStatement preparedStatement = null;

try {
connection = JDBCTools.getConnection();
preparedStatement = connection.prepareStatement(sql);

for(int i = 0; i < args.length; i++){
preparedStatement.setObject(i + 1, args[i]);
}

preparedStatement.executeUpdate();

} catch (Exception e) {
e.printStackTrace();
} finally{
JDBCTools.releaseDB(null, preparedStatement, connection);
}
}

//测试代码
public static void addNewStudent2(Student student) {
String sql = "INSERT INTO student(studentName, age, nativePlace) VALUES(?,?,?)";

JDBCTools.update(sql, student.getStudentName(), student.getAge(),
student.getNativePlace());
}

//调用
public static void main(String[] args) {
Student student = new Student();
student.setStudentName("王五");
student.setAge(18);
student.setNativePlace("中国云南");
JDBCTest.addNewStudent2(student);

}

 
































































































以上是关于javaWeb_JDBC_PreparedStatemment的使用的主要内容,如果未能解决你的问题,请参考以下文章