2. 程式人生 > >java資料庫程式設計(5) 使用preparedStatement

java資料庫程式設計(5) 使用preparedStatement

阿新 發佈:2018-12-02
  1. preparedStatement是一種帶有佔位符(?)的sql語句,它可以將預編譯的sql語句儲存起來,然後可以使用這個預編譯好的sql語句多次高效地執行傳入具體引數的sql語句。
  2. 例如執行 insert into table xxx values(1);  insert into table xxx values(2); ... 這樣結構相同,只是具體的資料不通過的語句,就可以使用PreparedStatement物件將一個insert into table xxx valuse(?);預編譯好,然後再在具體執行的時候呼叫PreparedMent物件的setInt(1,x);方法傳入具體的值。   這裡的1是指第一個?。
  3. 具體的講解穿插在程式碼中。 
    import java.io.FileInputStream;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.Statement;
import java.util.Properties;

public class PreparedStatementTest {
    private String driver;
    private String  url;
    private String user;
    private String pass;

//    通過讀取屬性問價來獲得屬性
    public void iniParam(String paramFile) throws Exception{
        Properties properties = new Properties();

//       以輸入流的方式開啟屬性檔案
        properties.load(new FileInputStream(paramFile));

//        依次讀取屬性檔案裡的各種屬性
        driver = properties.getProperty("driver");
        url= properties.getProperty("url");
        user = properties.getProperty("user");
        pass = properties.getProperty("pass");
        Class.forName(driver);
    }

//    這是通過常規的方式將一百條記錄新增到表中。
    public void insertUserStatement() throws Exception{
        long start = System.currentTimeMillis();
        try(
//                先獲得資料庫連結Connection物件,並且通過這個資料庫連結建立Statement物件,在由statement物件來執行sql語句
                Connection connection  = DriverManager.getConnection(url,user,pass);
                Statement statement  = connection.createStatement()
                ){
            for(int i=0; i<100; i++){
//                執行一百次新增資料。
                statement.executeUpdate("insert into insert100 values(i)");
            }
            System.out.println("使用Statement費時:" + (System.currentTimeMillis()-start));
        }
    }


//    通過PreparedStatement來新增一百條記錄
    public void inserUserPrepare() throws Exception{
        long start = System.currentTimeMillis();
        try(
//                PreparedStatement同樣是通過Connection物件來或獲得的。
//                具體的構造方法是將要執行的sql語句傳進其構造方法裡。但是要將具體的資料用?代替
//                然後再在具體執行sql語句的時候將?代替成具體的值
                Connection connection = DriverManager.getConnection(url,user,pass);

                PreparedStatement preparedStatement =
                        connection.prepareStatement("insert into insert100 values(?)"))
                {
                    for(int i=0; i<100; i++){
                        preparedStatement.setInt(1,i);
                        preparedStatement.execute();
                    }
                    System.out.println("使用PreparedStatement費時" + (System.currentTimeMillis() - start));
        }

    }

    public static void main(String args[]) throws Exception{
        PreparedStatementTest preparedStatementTest  = new PreparedStatementTest();
        preparedStatementTest.iniParam("mysql.ini");
        preparedStatementTest.insertUserStatement();a
        preparedStatementTest.inserUserPrepare();
    }
}
//執行上面程式,看到以下輸出:
//        使用Statement費時:5000
//        使用PreparedStatement費時4094

     

  4. 使用PreparedStatement不僅可以提高效率,而且可以防止sql注入。我理解的sql注入是使用一般的sql語句處理過程中如果使用者輸入的內容不是合法資訊,但是可以和系統預先設定的sql語句部分合成一條語法和邏輯都沒有問題的sql語句。並讓這條語句執行某種非法操作。

  5. 如下面這個例子,在不使用PreparedStatement的情況下,如果使用者名稱輸入‘or ture or'這樣的內容的話,會顯示登陸成功。

    import javax.swing.*;
import java.awt.*;
import java.awt.event.ActionEvent;
import java.io.FileInputStream;
import java.io.FileReader;
import java.sql.*;
import java.util.Properties;

public class LoginFrame {
    private final String PROP_FILE = "mysql.ini";
    private String driver;
    private String url;
    private String user;
    private String pass;

    private JFrame jf = new JFrame("登陸");
    private JTextField userField = new JTextField(20);
    private JTextField passField = new JTextField(20);
    private JButton loginButton = new JButton("登入");
    public void init() throws  Exception{
        Properties connProp = new Properties();
        connProp.load(new FileInputStream(PROP_FILE));
        driver = connProp.getProperty("driver");
        url = connProp.getProperty("url");
        user = connProp.getProperty("user");
        pass = connProp.getProperty("pass");
        Class.forName(driver);
        loginButton.addActionListener(new AbstractAction() {
            @Override
            public void actionPerformed(ActionEvent e) {
                if(validate(userField.getText(), passField.getText())){
                    JOptionPane.showMessageDialog(jf, "登陸成功");
                }else{
                    JOptionPane.showMessageDialog(jf, "登陸失敗");
                }
            }
        });
        jf.add(userField, BorderLayout.NORTH);
        jf.add(passField);
        jf.add(loginButton, BorderLayout.SOUTH);
        jf.pack();
        jf.setVisible(true);
    }
    private boolean validate(String userName, String userPass){
        String sql = "select * from students where Sname = '" + userName + "' and Sno= '" + userPass + "';";
        System.out.println(sql);
        try(
                Connection connection = DriverManager.getConnection(url, user, pass);
                Statement statement = connection.createStatement();
                ResultSet rs = statement.executeQuery(sql))
        {
            if(rs.next()){
                return true;
            }
        }catch (Exception e){
            e.printStackTrace();
        }
        return false;
    }


    private boolean valicate1(String userName, String userPass){
        try(
                Connection conn = DriverManager.getConnection(url, user, pass);
                PreparedStatement pstmt = conn.prepareStatement(
                        "select * from students where Sname = ? and Sno = ?")){
            pstmt.setString(1, userName);
            pstmt.setString(2,userPass);
            try(
                    ResultSet rs = pstmt.executeQuery())
            {
                if(rs.next()){
                    return true;
                }
            }
        }catch (Exception e){
            e.printStackTrace();
        }
        return false;
    }



    public static void main(String args[]) throws Exception{
        new LoginFrame().init();
    }





}

    這是因為當輸入 'or ture or'之後,“拼接而成”的sql語句為 

    select * from students where Sname = '‘or true or’' and Sno= '';

    這樣的語句是返回true的。

  6. 當使用了PaparedStatememt之後,使用者輸入的內容只能是代替了‘’裡的內容 ,所以也就不存在sql注入了。

    import javax.swing.*;
import java.awt.*;
import java.awt.event.ActionEvent;
import java.io.FileInputStream;
import java.io.FileReader;
import java.sql.*;
import java.util.Properties;

public class LoginFrame {
    private final String PROP_FILE = "mysql.ini";
    private String driver;
    private String url;
    private String user;
    private String pass;

    private JFrame jf = new JFrame("登陸");
    private JTextField userField = new JTextField(20);
    private JTextField passField = new JTextField(20);
    private JButton loginButton = new JButton("登入");
    public void init() throws  Exception{
        Properties connProp = new Properties();
        connProp.load(new FileInputStream(PROP_FILE));
        driver = connProp.getProperty("driver");
        url = connProp.getProperty("url");
        user = connProp.getProperty("user");
        pass = connProp.getProperty("pass");
        Class.forName(driver);
        loginButton.addActionListener(new AbstractAction() {
            @Override
            public void actionPerformed(ActionEvent e) {
                if(valicate1(userField.getText(), passField.getText())){
                    JOptionPane.showMessageDialog(jf, "登陸成功");
                }else{
                    JOptionPane.showMessageDialog(jf, "登陸失敗");
                }
            }
        });
        jf.add(userField, BorderLayout.NORTH);
        jf.add(passField);
        jf.add(loginButton, BorderLayout.SOUTH);
        jf.pack();
        jf.setVisible(true);
    }
    private boolean validate(String userName, String userPass){
        String sql = "select * from students where Sname = '" + userName + "' and Sno= '" + userPass + "';";
        System.out.println(sql);
        try(
                Connection connection = DriverManager.getConnection(url, user, pass);
                Statement statement = connection.createStatement();
                ResultSet rs = statement.executeQuery(sql))
        {
            if(rs.next()){
                return true;
            }
        }catch (Exception e){
            e.printStackTrace();
        }
        return false;
    }


    private boolean valicate1(String userName, String userPass){
        try(
                Connection conn = DriverManager.getConnection(url, user, pass);
                PreparedStatement pstmt = conn.prepareStatement(
                        "select * from students where Sname = ? and Sno = ?")){
            pstmt.setString(1, userName);
            pstmt.setString(2,userPass);
            try(
                    ResultSet rs = pstmt.executeQuery())
            {
                if(rs.next()){
                    return true;
                }
            }
        }catch (Exception e){
            e.printStackTrace();
        }
        return false;
    }



    public static void main(String args[]) throws Exception{
        new LoginFrame().init();
    }





}

  7. 總的看來PreparedStetement比一般的sql語句處理有兩個有點

    1. 它是採用預編譯的原理,效能更好。

    2. 可以防止sql注入,安全性更高。

相關推薦

java資料庫程式設計5 使用preparedStatement

preparedStatement是一種帶有佔位符(?)的sql語句,它可以將預編譯的sql語句儲存起來,然後可以使用這個預編譯好的sql語句多次高效地執行傳入具體引數的sql語句。 例如執行 insert into table xxx values(1);  insert i

java資料庫程式設計13 獲取資料庫更多資訊

使用 DatabaseMetaData可以獲得關於資料庫的很多資訊,比如支援的列,兩張表之間的外來鍵約束,檢視主鍵約束等等。 這裡的程式碼也不用怎麼講解了,如果前面的都懂的話,這些程式碼是可以看懂的。 import java.io.FileInputStream; import java

java資料庫程式設計12事務處理

Connection是預設將executeXXX(String sql)執行之後馬上提交給資料庫的,這樣一來,有時候如果需要處理一連串的sql語句(也就是事務,這裡不講解事務的相關知識),則需要將Connection的自動提交關掉,使用的方法為setAutoCommit(false)。在將事務

java資料庫程式設計11 查詢結果分頁

因為離線RowSet是將結果集讀取到記憶體中的,如果資料庫太大的話,一次性讀取到記憶體中,可能會造成記憶體溢位,所以RowSet還提供了分頁功能,即每次只裝載資料庫中的某幾行資料。 CachedRowSet提供了以下方法來控制分頁 populate(ResultSet

java資料庫程式設計10 離線RowSet

使用離線的RowSet可以使得不用一直保持Connection連結,離線RowSet會直接將地城資料讀入到記憶體,封裝成RowSet物件,而RowSet物件可以直接當作Java  Bean來使用 CachedRowSet是所有離線RowSet的父介面 程式執行前和程式執行

java資料庫程式設計9 RowSet

RowSet是在java6.0之後才開始有比較多的應用的,在6.0中,java提供了JdbcRowSetImpl,CahedRowSet等五個實現類。 以下是jdbcRowSetImpl的一些構造方法: jdbcRowSetImpl()建立一個預設的jdbcRowSet

java資料庫程式設計8ResultSetMetaData

前面說過可以通過next()方法或者使用可滾動的結果集方法查詢結果,但是這都只是在以每一行為單位的,如果需要訪問以每一行的每一個數據的話,可以使用ResultSetMetaData來訪問。 MetaData是“元資料的意思”,是描述其他資料時回到的資料。 幾個ResultSetMe

java資料庫程式設計7 管理結果集

在前面已經有接觸過封裝查詢結果集的類ResultSet了,可以通過next()方法移動指標來訪問結果集。 ResultSet還有其他方法可以靈活地移動記錄指標,可以使用以下這些方法的ResultSet稱為可滾動的結果集,在java5之後,預設開啟的ResultSet是可滾動的。

java資料庫程式設計6 使用儲存過程

可以使用下面這樣的sql語句建立一個儲存過程 mysql> delimiter // mysql> create procedure PTest(a int, b int, out sum int) -> begin -> set sum = a + b

java資料庫程式設計4 使用execute方法執行SQL語句

Statement的execute()語句可以執行任何SQL語句,但是它比較麻煩,故通常應該使用executeQuery()或者executeUpdate()方法。 使用exrcute()方法執行只是返回boolean值,它表示執行該SQL語句是否返回了ResultSet物

菜雞的Java筆記 java資料庫程式設計JDBC

java資料庫程式設計(JDBC)        介紹 JDBC 的基本功能            content (內容)    

Java併發程式設計5-- AsyncTask

一、使用 1、定義 在Android中實現非同步任務機制有兩種方式,Handler和AsyncTask。Handler模式需要為每一個任務建立一個新的執行緒,任務完成後通過Handler例項向UI執行緒傳送訊息,完成介面的更新,這種方式對於整個過程的控制比較

Java多執行緒程式設計-5-使用Lock物件實現同步以及執行緒間通訊

前幾篇: 在《Java多執行緒程式設計-(4)-執行緒間通訊機制的介紹與使用》已經學習了,可以使用方法wait/notify 結合同步關鍵字syn

java web--session5

服務端 請求 -s 頁面 serlvet gui 提示頁面 contex lag 1. Session 的創建和銷毀 page 指定的 session 屬性: 1). 默認情

Java筆試題5

stat 裏的 pre 做的 靜態 string main clas 答案 class Test{ int getValue(){ static int i=0; i++; return i; } p

Java GUI程式設計

**********************網格佈局 GridLayout********************** 類似於表格一樣,可以設定一個 幾行幾列的表格 小技巧(讓兩個元件垂直排列的小技巧): 一個元件放到邊框佈局的北邊,另一個元件放到中間 演示程式碼: package com.awt.

Java GUI程式設計

********************第16章 GUI程式設計 ************************** 一.什麼是GUI GUI= Graphical User Interface 圖形使用者介面 圖形使用者介面 GUI是用java來編寫帶介面的應用程式 兩套技術 1. AWT(Ab

Java併發程式設計1:可重入內建鎖

每個Java物件都可以用做一個實現同步的鎖,這些鎖被稱為內建鎖或監視器鎖。執行緒在進入同步程式碼塊之前會自動獲取鎖,並且在退出同步程式碼塊時會自動釋放鎖。獲得內建鎖的唯一途徑就是進入由這個鎖保護的同步程式碼塊或方法。 當某個執行緒請求一個由其他執行緒持有的鎖時,發出請求的執行緒就會阻塞。然而,由於內建鎖是可

Java併發程式設計2:執行緒中斷含程式碼

使用interrupt()中斷執行緒當一個執行緒執行時,另一個執行緒可以呼叫對應的Thread物件的interrupt()方法來中斷它,該方法只是在目標執行緒中設定一個標誌,表示它已經被中斷,並立即返回。這裡需要注意的是,如果只是單純的呼叫interrupt()方法,執行緒並沒有實際被中斷,會繼續往下執行。

Java併發程式設計3:執行緒掛起、恢復與終止的正確方法含程式碼

JAVA大資料中高階架構 2018-11-06 14:24:56掛起和恢復執行緒Thread 的API中包含兩個被淘汰的方法,它們用於臨時掛起和重啟某個執行緒,這些方法已經被淘汰,因為它們是不安全的,不穩定的。如果在不合適的時候掛起執行緒(比如,鎖定共享資源時),此時便可能會發生死鎖條件——其他執行緒在等待該