操作和访问数据库

数据库的调用的不同方式:

• Statement：用于执行静态 SQL 语句并返回它所生成结果的对象。
• PreparedStatement：SQL 语句被预编译并存储在此对象中，可以使用此对象多次高效地执行该语句。
• CallableStatement：用于执行 SQL 存储过程

Statement操作数据表的弊端

• 存在拼串操作，繁琐
• 存在SQL注入问题()

sql注入问题

SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查，而在用户输入数据中注入非法的 SQL 语句段或命令 ，从而利用系统的 SQL 引擎完成恶意行为的做法。

通过一个登录功能来讲解sql注入问题：

1. 在test数据库创建一个user表

create table user(uid int primary key,username varchar(20),password varchar(20)
)
insert user values(1,'小明','123456')

2. 准备一个jdbc.properties

driverClass=com.mysql.jdbc.Driver
url=jdbc:mysql://localhost:3306/test
user=root
password=123456

3. 创建一个User对象

public class User {String username;String password;
}

4. 创建一个StatementTest类

import java.io.InputStream;
import java.lang.reflect.Field;
import java.sql.*;
import java.util.Properties;
import java.util.Scanner;public class StatementTest {public static void main(String[] args) {testLogin();}// 使用Statement的弊端：需要拼写sql语句，并且存在SQL注入的问题public static void testLogin() {Scanner scan = new Scanner(System.in);System.out.print("用户名：");String userName = scan.nextLine();System.out.print("密   码：");String password = scan.nextLine();//            SELECT username,password FROM user WHERE username = '     ' or 1      AND password = '    1' or '1' = '1 'String sql = "SELECT username,password FROM user WHERE username = '" + userName + " AND password = '" + password + "'";System.out.println(sql);User user = get(sql, User.class);if (user != null) {System.out.println("登陆成功!");} else {System.out.println("用户名或密码错误！");}}// 使用Statement实现对数据表的查询操作public static <T> T get(String sql, Class<T> clazz) {T t = null;Connection conn = null;Statement st = null;ResultSet rs = null;try {// 1.加载配置文件InputStream is = StatementTest.class.getClassLoader().getResourceAsStream("jdbc.properties");Properties pros = new Properties();pros.load(is);// 2.读取配置信息String user = pros.getProperty("user");String password = pros.getProperty("password");String url = pros.getProperty("url");String driverClass = pros.getProperty("driverClass");// 3.加载驱动Class.forName(driverClass);// 4.获取连接conn = DriverManager.getConnection(url, user, password);st = conn.createStatement();rs = st.executeQuery(sql);// 获取结果集的元数据ResultSetMetaData rsmd = rs.getMetaData();// 获取结果集的列数int columnCount = rsmd.getColumnCount();if (rs.next()) {t = clazz.newInstance();for (int i = 0; i < columnCount; i++) {// //1. 获取列的名称// String columnName = rsmd.getColumnName(i+1);// 1. 获取列的别名String columnName = rsmd.getColumnLabel(i + 1);// 2. 根据列名获取对应数据表中的数据Object columnVal = rs.getObject(columnName);// 3. 将数据表中得到的数据，封装进对象Field field = clazz.getDeclaredField(columnName);field.setAccessible(true);field.set(t, columnVal);}return t;}} catch (Exception e) {e.printStackTrace();} finally {// 关闭资源if (rs != null) {try {rs.close();} catch (SQLException e) {e.printStackTrace();}}if (st != null) {try {st.close();} catch (SQLException e) {e.printStackTrace();}}if (conn != null) {try {conn.close();} catch (SQLException e) {e.printStackTrace();}}}return null;}
}

5. 启动程序，用户名：’ or 1，密码：1’ or ‘1’ = '1
   
   可以看到就算我们没有输入正确的用户名密码，但是还是登录成功了。因此我们需要使用PreparedStatement解决sql注入问题。

PreparedStatement类

PreparedStatement 接口是 Statement 的子接口，它表示一条预编译过的 SQL 语句

优点：

• DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用，所以语句在被DBServer的编译器编译后的执行代码被缓存下来，那么下次调用时只要是相同的预编译语句就不需要编译，只要将参数直接传入编译过的语句执行代码中就会得到执行。
• PreparedStatement 可以防止 SQL 注入

封装一个连接数据库的工具类：JdbcUtils类

import java.io.IOException;
import java.io.InputStream;
import java.sql.*;
import java.util.Properties;public class JDBCUtils {public static Connection con = null;public static String driverClass = null;public static String url = null;public static String username = null;public static String password = null;public static Connection getConnection(){InputStream in = JDBCUtils.class.getClassLoader().getResourceAsStream("jdbc.properties");Properties properties = new Properties();try {properties.load(in);properties.getProperty("driver");url = properties.getProperty("url");username = properties.getProperty("username");password = properties.getProperty("password");driverClass = properties.getProperty("driverClass");Class.forName(driverClass);con = DriverManager.getConnection(url,username,password);} catch (IOException e) {e.printStackTrace();} catch (ClassNotFoundException e) {e.printStackTrace();} catch (SQLException e) {e.printStackTrace();}return con;}public static void closeResource(Connection conn, PreparedStatement ps) {try {if (conn != null){conn.close();}if (ps != null) {ps.close();}} catch (SQLException e) {e.printStackTrace();}}public static void closeResource(Connection conn, PreparedStatement ps, ResultSet rs) {try {if (conn != null){conn.close();}if (ps != null) {ps.close();}if (rs != null) {rs.close();}} catch (SQLException e) {e.printStackTrace();}}
}

编写一个PreparedStatementTest测试类

import java.lang.reflect.Field;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.ResultSetMetaData;
import java.util.Scanner;public class PreparedStatementTest {//通用的增、删、改操作（体现一：增、删、改 ； 体现二：针对于不同的表）public static void update(String sql,Object ... args){Connection conn = null;PreparedStatement ps = null;try {//1.获取数据库的连接conn = JDBCUtils.getConnection();//2.获取PreparedStatement的实例 (或：预编译sql语句)ps = conn.prepareStatement(sql);//3.填充占位符for(int i = 0;i < args.length;i++){ps.setObject(i + 1, args[i]);}//4.执行sql语句ps.execute();} catch (Exception e) {e.printStackTrace();}finally{//5.关闭资源JDBCUtils.closeResource(conn, ps);}}// 通用的针对于不同表的查询:返回一个对象 (version 1.0)public static <T> T getInstance(Class<T> clazz, String sql, Object... args) {Connection conn = null;PreparedStatement ps = null;ResultSet rs = null;try {// 1.获取数据库连接conn = JDBCUtils.getConnection();// 2.预编译sql语句，得到PreparedStatement对象ps = conn.prepareStatement(sql);// 3.填充占位符for (int i = 0; i < args.length; i++) {ps.setObject(i + 1, args[i]);}// 4.执行executeQuery(),得到结果集：ResultSetrs = ps.executeQuery();// 5.得到结果集的元数据：ResultSetMetaDataResultSetMetaData rsmd = rs.getMetaData();// 6.1通过ResultSetMetaData得到columnCount,columnLabel；通过ResultSet得到列值int columnCount = rsmd.getColumnCount();if (rs.next()) {T t = clazz.newInstance();for (int i = 0; i < columnCount; i++) {// 遍历每一个列// 获取列值Object columnVal = rs.getObject(i + 1);// 获取列的别名:列的别名，使用类的属性名充当String columnLabel = rsmd.getColumnLabel(i + 1);// 6.2使用反射，给对象的相应属性赋值Field field = clazz.getDeclaredField(columnLabel);field.setAccessible(true);field.set(t, columnVal);}return t;}} catch (Exception e) {e.printStackTrace();} finally {// 7.关闭资源JDBCUtils.closeResource(conn, ps, rs);}return null;}public static void testLogin() {Scanner scan = new Scanner(System.in);System.out.print("用户名：");String userName = scan.nextLine();System.out.print("密   码：");String password = scan.nextLine();//            SELECT username,password FROM user WHERE username = '     ' or 1      AND password = '    1' or '1' = '1 'String sql = "SELECT username,password FROM user WHERE username = '" + userName + " AND password = '" + password + "'";System.out.println(sql);User user = getInstance(User.class,sql,userName,password);if (user != null) {System.out.println("登陆成功!");} else {System.out.println("用户名或密码错误！");}}public static void main(String[] args) {testLogin();}}

此时我们用户名输入’ or 1，密码输入1’ or ‘1’ = '1，出现了public class SQLException extends java.lang.Exception异常。成功的解决了sql注入问题。

ResultSet类与ResultSetMetaData类

ResultSet：
ResultSet 对象以逻辑表格的形式封装了执行数据库操作的结果集,

ResultSet 对象维护了一个指向当前数据行的游标，初始的时候，游标在第一行之前，可以通过 ResultSet 对象的 next() 方法移动到下一行。调用 next()方法检测下一行是否有效。若有效，该方法返回 true，且指针下移。相当于Iterator对象的 hasNext() 和 next() 方法的结合体。

ResultSetMetaData:
可用于获取关于 ResultSet 对象中列的类型和属性信息的对象

• getColumnName(int column)：获取指定列的名称
• getColumnLabel(int column)：获取指定列的别名
• getColumnCount()：返回当前 ResultSet 对象中的列数。
• getColumnTypeName(int column)：检索指定列的数据库特定的类型名称。
• getColumnDisplaySize(int column)：指示指定列的最大标准宽度，以字符为单位。
• isNullable(int column)：指示指定列中的值是否可以为 null。
• isAutoIncrement(int column)：指示是否自动为指定列进行编号，这样这些列仍然是只读的。

资源的释放

• 释放ResultSet, Statement,Connection。
• 数据库连接（Connection）是非常稀有的资源，用完后必须马上释放，如果Connection不能及时正确的关闭将导致系统宕机。Connection的使用原则是尽量晚创建，尽量早的释放。
• 可以在finally中关闭，保证及时其他代码出现异常，资源也一定能被关闭。

批量插入

• addBatch(String)：添加需要批量处理的SQL语句或是参数；
• executeBatch()：执行批量处理语句；
• clearBatch():清空缓存的数据

1. 创建一个图书表

CREATE TABLE books(id INT PRIMARY KEY AUTO_INCREMENT,NAME VARCHAR(20)
);

2. 创建一个addBatchTest测试类

import java.sql.Connection;
import java.sql.PreparedStatement;public class addBatchTest {public static void testInsert2() throws Exception{long start = System.currentTimeMillis();Connection conn = JDBCUtils.getConnection();//1.设置为不自动提交数据conn.setAutoCommit(false);String sql = "insert into books(name) values(?)";PreparedStatement ps = conn.prepareStatement(sql);for(int i = 1;i <= 10000;i++){ps.setString(1, "name_" + i);//1.“攒”sqlps.addBatch();if(i % 500 == 0){//2.执行ps.executeBatch();//3.清空ps.clearBatch();}}//2.提交数据conn.commit();long end = System.currentTimeMillis();System.out.println("花费的时间为：" + (end - start));//10000条:JDBCUtils.closeResource(conn, ps);}public static void main(String[] args) throws Exception {testInsert2();}
}

3. 启动程序进行测试
   
   这里我们可以看到插入10000条数据用了1443ms，实现了批量插入。这里我们是取消了自动提交。通过手动提交的方式来提高效率。

欢迎java热爱者了解文章，作者将会持续更新中，期待各位友友的关注和收藏,另外对编程感兴趣的友友们可以加以下群共同学习。群号：127871664