A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

© 小鲁哥哥 黑马粉丝团   /  2017-9-28 15:23  /  1483 人查看  /  1 人回复  /   0 人收藏 转载请遵从CC协议 禁止商业使用本文

小鲁哥哥白话笔记-JDBC(API使用)

前一章里我们让大家对JDBC的api有了一些了解,今天我们就聊一聊如何使用JDBC。首先我们就聊一聊JDBC的注入问题:
SQL注入问题
假设有登录案例SQL语句如下:
SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;
此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。但是当用户输入的账号为XXX 密码为:XXX’  OR ‘a’=’a时,则真正执行的代码变为:
SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ’a’=’a’;
此时,上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了,显然我们不希望看到这样的结果,这便是SQL注入问题。
为此,我们使用PreparedStatement来解决对应的问题。
那么PreparedStatement是一个什么类呢,它起到了什么作用,下面给大家详细的聊一聊它是什么,他有什么作用:
使用PreparedStatement预处理对象时,建议每条sql语句所有的实际参数,都使用逗号分隔。
String sql = "insert into sort(sid,sname) values(?,?)";;
PreparedStatement预处理对象代码:
PreparedStatement psmt = conn.prepareStatement(sql)
        常用方法:
1. 执行SQL语句:
l int executeUpdate(); --执行insert update delete语句.
l ResultSet executeQuery(); --执行select语句.
l boolean execute(); --执行select返回true 执行其他的语句返回false.
2. 设置实际参数
l void setXxx(int index, Xxx xx) 将指定参数设置为给定Java的xx值。在将此值发送到数据库时,驱动程序将它转换成一个 SQL Xxx类型值。
例如:
setString(2, "家用电器") 把SQL语句中第2个位置的占位符? 替换成实际参数 "家用电器"
预处理对象我们可以说他有两类方法,一种是他的executeUpdate方法,即会更改表中数据的方法,一种是executeQuery方法,即会查询表中数据的方法。下边给大家详细聊一聊这两类方法处理对象executeUpdate方法
通过预处理对象的executeUpdate方法,完成记录的insert\update\delete语句的执行。操作格式统一如下:
        1. 注册驱动
        2. 获取连接
        3. 获取预处理对象
        4. SQL语句占位符设置实际参数
        5. 执行SQL语句
        6. 释放资源
插入记录:insert
l 实现向分类表中插入指定的新分类
[Java] 纯文本查看 复制代码
public void demo01() throws Exception {
// 1注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
// 3获得预处理对象
String sql = "insert into sort(sname) values(?)";
PreparedStatement stat = conn.prepareStatement(sql);
// 4 SQL语句占位符设置实际参数
stat.setString(1, "奢侈品");
// 5执行SQL语句
int line = stat.executeUpdate();
System.out.println("新添加记录数:" + line);
// 6释放资源
stat.close();
conn.close();
}
更新记录:update
l 实现更新分类表中指定分类ID所对应记录的分类名称
[Java] 纯文本查看 复制代码
public void demo02() throws Exception {
// 1注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
// 3获得预处理对象中
String sql = "update sort set sname=? where sid=?";
PreparedStatement stat = conn.prepareStatement(sql);
// 4 SQL语句占位符设置实际参数
stat.setString(1, "数码产品");
stat.setInt(2, 1);
// 5执行SQL语句
int line = stat.executeUpdate();
System.out.println("更新记录数:" + line);
// 6释放资源
stat.close();
conn.close();
}
删除记录:delete
l 实现删除分类表中指定分类ID的记录
[Java] 纯文本查看 复制代码
public void demo03() throws Exception {
// 1注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
// 3获得预处理对象
String sql = "delete from sort where sid=?";
PreparedStatement stat = conn.prepareStatement(sql);
// 4 SQL语句占位符设置实际参数
stat.setInt(1, 1);
// 5执行SQL语句
int line = stat.executeUpdate();
System.out.println("删除记录数:" + line);
// 6释放资源
stat.close();
conn.close();
}
处理对象executeQuery方法
通过预处理对象的executeQuery方法,完成记录的select语句的执行。操作格式统一如下:
        1. 注册驱动
        2. 获取连接
        3. 获取预处理对象
        4. SQL语句占位符设置实际参数
        5. 执行SQL语句
        6. 处理结果集(遍历结果集合)
        7. 释放资源
查询记录:select
l 实现查询分类表所有记录
[Java] 纯文本查看 复制代码
public void demo04() throws Exception {
// 1注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
// 3获得预处理对象
String sql = "select * from sort";
PreparedStatement stat = conn.prepareStatement(sql);
// 4 SQL语句占位符设置实际参数
// 5执行SQL语句
ResultSet rs = stat.executeQuery();
// 6处理结果集(遍历结果集合)
while( rs.next() ){
//获取当前行的分类ID
String sid = rs.getString("sid");//方法参数为数据库表中的列名
//获取当前行的分类名称
String sname = rs.getString("sname");
//显示数据
System.out.println(sid+"-----"+sname);
}
// 7释放资源
rs.close();
stat.close();
conn.close();
}
l 实现查询分类表中指定分类名称的记录
[Java] 纯文本查看 复制代码
public void demo05() throws Exception {
// 1注册驱动
Class.forName("com.mysql.jdbc.Driver");
// 2获取连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
// 3获得预处理对象
String sql = "select * from sort where sname=?";
PreparedStatement stat = conn.prepareStatement(sql);
// 4 SQL语句占位符设置实际参数
stat.setString(1, "奢侈品");
// 5执行SQL语句
ResultSet rs = stat.executeQuery();
// 6处理结果集(遍历结果集合)
while( rs.next() ){
//获取当前行的分类ID
String sid = rs.getString("sid");//方法参数为数据库表中的列名
//获取当前行的分类名称
String sname = rs.getString("sname");
//显示数据
System.out.println(sid+"-----"+sname);
}
// 7释放资源
rs.close();
stat.close();
conn.close();
}

点进这个帖子的同学肯定是要奋发图强,学技术拿高薪的有志青年,这里我看你骨骼惊奇,是个绝世的练武奇才,你我有缘,今天我就把这个武林秘籍如来神掌传授于你! 什么?不想学如来神掌?不要紧!这里有各个门派的武林绝学,链接拿好!!哈哈哈哈
如果你想了解更多黑马课程,如果你想加入黑马这个大家庭学习先进技术,光交天下好友,那就快来吧!
     黑马程序员济南中心联系电话:0531-55696830


1 个回复

倒序浏览
收藏了一个
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入黑马