JDBC中PreparedStatement详解及应用场景介绍

这篇具有很好参考价值的文章主要介绍了JDBC中PreparedStatement详解及应用场景介绍。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。

1、PreparedStatement介绍

PreparedStatement是Java JDBC API的一部分,它提供了一种更有效率和安全的方式来向SQL语句传递参数。PreparedStatement允许我们执行带有动态参数的SQL语句,这些参数可以在执行SQL语句之前预编译,从而提高执行效率。PreparedStatement对象可以通过Connection对象创建,并接受一条SQL语句作为参数。

PreparedStatement接口中定义了一系列用于设置参数的方法,包括setInt、setString、setDate等等,这些方法用于指定预编译的SQL语句中的参数值。PreparedStatement还提供了一种用于执行查询的方法executeQuery(),以及用于执行非查询的方法executeUpdate()。

2、与Statement相比,PreparedStatement有以下优点:

1.更高的执行效率

当需要执行多次相同的SQL语句时,PreparedStatement能够将SQL语句预编译,从而提高执行效率。PreparedStatement对象在创建时,会将SQL语句编译成一种可重用的二进制格式,当调用execute()方法时,直接传递参数即可执行SQL语句,这比Statement每次都需要解析SQL语句要更加高效。

2.防止SQL注入攻击

使用Statement执行动态SQL语句时,需要将参数值拼接到SQL语句中,这样容易受到SQL注入攻击。而PreparedStatement通过参数化查询的方式,将参数值作为参数传递给SQL语句,从而避免了SQL注入攻击。

3.增加了代码的可读性

PreparedStatement的代码更加简洁明了,可以使代码更易于理解和维护。

3、PreparedStatement的应用场景

PreparedStatement适用于执行需要传递参数的SQL语句,特别是当需要执行多次相同的SQL语句时,PreparedStatement能够大大提高执行效率。下面是PreparedStatement的一些常见应用场景: 

 通用的增、删、改操作,可以直接调用此方法 

	public void update(String sql,Object ... args){
		Connection conn = null;
		PreparedStatement ps = null;
		try {
			//1.获取数据库的连接
			conn = JDBCUtils.getConnection();
			
			//2.获取PreparedStatement的实例 (或:预编译sql语句)
			ps = conn.prepareStatement(sql);
			//3.填充占位符
			for(int i = 0;i < args.length;i++){
				ps.setObject(i + 1, args[i]);
			}
			
			//4.执行sql语句
			ps.execute();
		} catch (Exception e) {	
			e.printStackTrace();
		}finally{
			//5.关闭资源
			JDBCUtils.closeResource(conn, ps);
			
		}
	}

1)增加表数据:

String sql = "update students set grade = ? where id = ?";
update(sql,4,90);

   2)更新表数据:

String sql = "update students set grade = ? where id = ?";
update(sql,4,90);

 3) 删除表数据:

String sql = "delete from students where id = ?";
update(sql,4);

4、使用PreparedStatement实现查询操作

        首先我们需要学习一种思想:

ORM思想(object relational mapping)
        一个数据表对应一个java类
        表中的一条记录对应java类的一个对象
        表中的一个字段对应java类的一个属性

 我们首先新建一个students类,内容如下:

public class Students {
    private int id;
    private String name;
    private int grade;
 
    public Students() {
    }
 
    public Students(int id, String name, int grade) {
        this.id = id;
        this.name = name;
        this.grade = grade;
    }
 
    public int getId() {
        return id;
    }
 
    public void setId(int id) {
        this.id = id;
    }
 
    public String getName() {
        return name;
    }
 
    public void setName(String name) {
        this.name = name;
    }
 
    public int getGrade() {
        return grade;
    }
 
    public void setGrade(int grade) {
        this.grade = grade;
    }
 
    @Override
    public String toString() {
        return id+","+name+","+grade;
    }
}

 1)单条数据的查询

// 通用的针对于不同表的查询:返回一个对象 (version 1.0)
	public <T> T getInstance(Class<T> clazz, String sql, Object... args) {
 
		Connection conn = null;
		PreparedStatement ps = null;
		ResultSet rs = null;
		try {
			// 1.获取数据库连接
			conn = JDBCUtils.getConnection();
 
			// 2.预编译sql语句,得到PreparedStatement对象
			ps = conn.prepareStatement(sql);
 
			// 3.填充占位符
			for (int i = 0; i < args.length; i++) {
				ps.setObject(i + 1, args[i]);
			}
 
			// 4.执行executeQuery(),得到结果集:ResultSet
			rs = ps.executeQuery();
 
			// 5.得到结果集的元数据:ResultSetMetaData
			ResultSetMetaData rsmd = rs.getMetaData();
 
			// 6.1通过ResultSetMetaData得到columnCount,columnLabel;通过ResultSet得到列值
			int columnCount = rsmd.getColumnCount();
			if (rs.next()) {
				T t = clazz.newInstance();
				for (int i = 0; i < columnCount; i++) {// 遍历每一个列
 
					// 获取列值
					Object columnVal = rs.getObject(i + 1);
					// 获取列的别名:列的别名,使用类的属性名充当
					String columnLabel = rsmd.getColumnLabel(i + 1);
					// 6.2使用反射,给对象的相应属性赋值
					Field field = clazz.getDeclaredField(columnLabel);
					field.setAccessible(true);
					field.set(t, columnVal);
 
				}
				return t;
			}
		} catch (Exception e) {
			e.printStackTrace();
		} finally {
			// 7.关闭资源
			JDBCUtils.closeResource(conn, ps, rs);
		}
		return null;
	}

  调用上面的方法,实现查询单条记录:

String sql = "select * from students where id = ?";
Students s = getInstance(Students.class,sql,3);
System.out.println(s);

 2)多条数据的查询

public <T> List<T> getForList(Class<T> clazz, String sql, Object... args){
        Connection conn = null;
        PreparedStatement ps = null;
        ResultSet rs = null;
        try {
            //1.获取数据库连接
            conn = JDBCUtils.getConnection();
            //2.预编译sql语句,得到preparedStatement对象
            ps = conn.prepareStatement(sql);
            //3.填充占位符
            for (int i = 0; i < args.length; i++) {
                ps.setObject(i+1,args[i]);
            }
            //4.执行executeQuery(),得到结果集:resultset
            rs = ps.executeQuery();
            //5.获取结果集的元数据ResultSetMetaData
            ResultSetMetaData rsmd =  rs.getMetaData();
            //6.通过获取ResultSetMetaData结果集的列数
            int columnCount = rsmd.getColumnCount();
            //7.创建集合对象
            ArrayList<T> list = new ArrayList<T>();
 
            while (rs.next()){
                T t = clazz.newInstance();
                //处理结果集一行数据中的每一个列
                for (int i = 0; i < columnCount; i++) {
                    Object value = rs.getObject(i+1);
 
                    //获取每个列的别名getColumnLabel---针对于表的字段名和类的属性名不同
                    String columnName = rsmd.getColumnLabel(i+1);
 
                    //给s对象指定的某个属性,赋值为value
                    Field field = clazz.getDeclaredField(columnName);
                    field.setAccessible(true);
                    field.set(t,value);
                }
                list.add(t);
            }
            return list;
        } catch (Exception e) {
            e.printStackTrace();
        }finally {
            JDBCUtils.closeResource(conn,ps,rs);
        }
        return null;
    }

调用上面的方法,实现查询多条记录:

String sql = "select * from students";
List<Students> list = getForList(Students.class,sql);
list.forEach(System.out::println);

PreparedStatement的注意事项

1.SQL注入攻击

虽然PreparedStatement可以有效地防止SQL注入攻击,但是在设置参数时也要注意一些细节。例如,在使用setString()方法设置字符串类型的参数时,应该使用单引号将字符串括起来。否则,可能会造成SQL语句语法错误。

PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM users WHERE username = ?"); 

pstmt.setString(1, "张三"); //正确方式 
pstmt.setString(1, 张三); //错误方式

2.资源的释放

与Statement一样,使用完PreparedStatement对象后,我们也需要手动关闭对象以释放资源,防止资源泄露。

关闭PreparedStatement对象可以调用PreparedStatement对象的close()方法。

下面是一个使用PreparedStatement的示例代码:

public void queryUsersByName(String name) throws SQLException {
    Connection conn = null;
    PreparedStatement pstmt = null;
    ResultSet rs = null;

    try {
        conn = getConnection();
        String sql = "SELECT * FROM users WHERE name = ?";
        pstmt = conn.prepareStatement(sql);
        pstmt.setString(1, name);
        rs = pstmt.executeQuery();

        while (rs.next()) {
            // 处理结果集
        }
    } finally {
        // 释放资源
        if (rs != null) {
            rs.close();
        }
        if (pstmt != null) {
            pstmt.close();
        }
        if (conn != null) {
            conn.close();
        }
    }
}

在finally块中,我们按照ResultSet、PreparedStatement、Connection的顺序关闭对象。使用try-finally块可以确保即使在处理过程中出现异常,也能够及时关闭对象以释放资源。

3.批处理操作

批处理是指一次向数据库发送多条 SQL 语句进行执行的操作,可以有效提高数据库操作效率。在使用 Statement 执行批处理时,需要在 SQL 语句中使用分号(;)来分隔多个 SQL 语句,但是在使用 PreparedStatement 执行批处理时,只需要在多次调用 addBatch() 方法时,传入不同的 SQL 语句即可。

以下是一个 PreparedStatement 批处理的示例:

String sql = "INSERT INTO users(name, age) VALUES(?,?)";
PreparedStatement ps = conn.prepareStatement(sql);
for(int i=0; i<10; i++){
    ps.setString(1, "user"+i);
    ps.setInt(2, i);
    ps.addBatch();
}
int[] result = ps.executeBatch();
4.数据库事务

事务是指一组操作,要么全部执行成功,要么全部执行失败。在数据库操作中,事务通常用于保证数据的一致性和完整性,一旦某个操作失败,整个事务将回滚到最初状态,所有操作都将失效。

在使用 PreparedStatement 进行数据库操作时,可以结合事务来保证数据的一致性和完整性。在 JDBC 中,事务的使用可以通过 Connection 对象来实现,其核心方法如下:

  • setAutoCommit(boolean autoCommit): 设置是否自动提交事务,默认值为 true,即自动提交。
  • commit(): 手动提交事务。
  • rollback(): 回滚事务。

以下是一个 PreparedStatement 结合事务的示例:

Connection conn = null;
PreparedStatement ps = null;
try{
    conn = getConnection();
    // 关闭自动提交,开启事务
    conn.setAutoCommit(false);
    String sql = "INSERT INTO users(name, age) VALUES(?,?)";
    ps = conn.prepareStatement(sql);
    ps.setString(1, "user1");
    ps.setInt(2, 20);
    ps.executeUpdate();
    ps.setString(1, "user2");
    ps.setInt(2, 30);
    ps.executeUpdate();
    // 手动提交事务
    conn.commit();
}catch(SQLException e){
    // 回滚事务
    if(conn != null){
        try{
            conn.rollback();
        }catch(SQLException ex){
            ex.printStackTrace();
        }
    }
    e.printStackTrace();
}finally{
    JdbcUtils.release(conn, ps, null);
}

总结

PreparedStatement 是一种高效、安全、易用的数据库操作方式,具有多种优点,如可防止 SQL 注入攻击、支持参数化查询、可以重复使用等。在实际开发中,建议优先选择使用 PreparedStatement 进行数据库操作。

如果还有其他问题或需要进一步了解 PreparedStatement,可以查阅 JDK API 文档或者其他相关资料。文章来源地址https://www.toymoban.com/news/detail-787937.html

到了这里,关于JDBC中PreparedStatement详解及应用场景介绍的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • JDBC PrepareStatement 的使用(附各种场景 demo)

    文末有惊喜哦  👇👇👇 在 Java 中,与关系型数据库进行交互是非常常见的任务之一。JDBC(Java Database Connectivity)是 Java 平台的一个标准 API,用于连接和操作各种关系型数据库。其中,PreparedStatement 是 JDBC 中的一个重要接口,用于执行预编译的 SQL 语句。 1)PreparedStatement 继

    2024年01月22日
    浏览(38)
  • 初识JDBC——JDBC介绍、安装以及简单运用

    Java 数据库连接技术 (Java DataBase Connectivity) ,能实现 Java 程序对各种数据库的访问 由一组使用 Java 语言编写的类和接口 (JDBC API) 组成,它们位于 java.sql 以及 javax.sql 中         不必为不同的数据库专门编写不同的程序,而只需要加载不同的数据库驱动即可。 Class.forName (

    2024年02月06日
    浏览(39)
  • JDBC详解(一):JDBC概述

    本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远! 1、概念 持久化( persistence ): 把数据保存到可掉电式存储设备中以供之后使用 。 大多数情况下,特

    2023年04月24日
    浏览(41)
  • JDBC详细介绍

    JDBC(Java DataBase Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系型数据库提供统一访问,它是由一组用Java语言编写的类和接口组成的。 JDBC为Java程序操作不同的数据库提供了统一的接口,避免了细节。 JDBC可以链接任何提供了JDBC的驱动程序的数据

    2024年02月13日
    浏览(35)
  • JDBC详解(五):批量插入(超详解)

    本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远! 当需要成批插入或者更新记录时,可以采用Java的批量 更新 机制,这一机制允许多条语句一次性提

    2024年02月02日
    浏览(79)
  • 怎么创建JDBC应用程序

    建立一个JDBC应用程序,本教程中以Java连接MySQL为一个示例,分六个步骤进行: 1. 导入包 在程序中包含数据库编程所需的JDBC类。大多数情况下,使用 import java.sql.* 就足够了,如下所示: 2. 注册JDBC驱动程序 需要初始化驱动程序,这样就可以打开与数据库的通信。以下是代码

    2024年02月15日
    浏览(68)
  • Java JDBC 详解

    目录 2、Java JDBC 的核心组件有哪些? 3、如何使用JDBC API? 4、DriverManager 和 DataSource 的区别 5、如何使用DataSource进行数据库连接?         Java JDBC (Java Database Connectivity)是Java语言中用于访问数据库的API。JDBC API提供了一组标准的接口,允许Java应用程序通过使用标准SQL查询语

    2024年02月02日
    浏览(38)
  • 详解JDBC各个对象

    概述:DriverManager 是驱动管理类 作用 获取数据库连接 url 语法 如果连接的是本机 MySQL 服务器,并且端口号默认则 url简写为: jdbc:mysql:///数据库名称 示例代码 概述:Connection 是数据库连接类 作用 获取执行 SQL 的对象 方法 作用 Statement createStatement(); 返回执行 SQL 对象 Prepared

    2024年01月20日
    浏览(34)
  • MySQL的JDBC编程详解

    在实际项目中,我们对于数据库的操作大部分是通过代码来完成的,各种数据库在开发的时候,都会提供一组编程接口API。所以不同公司使用不同的数据库软件,那么程序员学习成本是非常大的,因为要学习不同数据库对应的编程风格和相关语法。所以在java层面就进行了统一

    2024年02月08日
    浏览(40)
  • JDBC详解(六):数据库事务(超详解)

    本博主将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识,有兴趣的小伙伴可以关注博主!也许一个人独行,可以走的很快,但是一群人结伴而行,才能走的更远! 事务:一组逻辑操作单元,使数据从一种状态变换到另一种状态。 事务处理(事务操作): 保证所

    2024年02月04日
    浏览(47)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包