JDBC中PreparedStatement详解以及应用场景实例介绍
作者:@泡泡糖
前言
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
1、PreparedStatement介绍
PreparedStatement是Java JDBC API的一部分,它提供了一种更有效率和安全的方式来向SQL语句传递参数。PreparedStatement允许我们执行带有动态参数的SQL语句,这些参数可以在执行SQL语句之前预编译,从而提高执行效率。PreparedStatement对象可以通过Connection对象创建,并接受一条SQL语句作为参数。
PreparedStatement接口中定义了一系列用于设置参数的方法,包括setInt、setString、setDate等等,这些方法用于指定预编译的SQL语句中的参数值。PreparedStatement还提供了一种用于执行查询的方法executeQuery(),以及用于执行非查询的方法executeUpdate()。
2、与Statement相比,PreparedStatement有以下优点:
1.更高的执行效率
当需要执行多次相同的SQL语句时,PreparedStatement能够将SQL语句预编译,从而提高执行效率。PreparedStatement对象在创建时,会将SQL语句编译成一种可重用的二进制格式,当调用execute()方法时,直接传递参数即可执行SQL语句,这比Statement每次都需要解析SQL语句要更加高效。
2.防止SQL注入攻击
使用Statement执行动态SQL语句时,需要将参数值拼接到SQL语句中,这样容易受到SQL注入攻击。而PreparedStatement通过参数化查询的方式,将参数值作为参数传递给SQL语句,从而避免了SQL注入攻击。
3.增加了代码的可读性
PreparedStatement的代码更加简洁明了,可以使代码更易于理解和维护。
3、PreparedStatement的应用场景
PreparedStatement适用于执行需要传递参数的SQL语句,特别是当需要执行多次相同的SQL语句时,PreparedStatement能够大大提高执行效率。下面是PreparedStatement的一些常见应用场景:
通用的增、删、改操作,可以直接调用此方法
public void update(String sql,Object ... args){
Connection conn = null;
PreparedStatement ps = null;
try {
//1.获取数据库的连接
conn = JDBCUtils.getConnection();
//2.获取PreparedStatement的实例 (或:预编译sql语句)
ps = conn.prepareStatement(sql);
//3.填充占位符
for(int i = 0;i < args.length;i++){
ps.setObject(i + 1, args[i]);
}
//4.执行sql语句
ps.execute();
} catch (Exception e) {
e.printStackTrace();
}finally{
//5.关闭资源
JDBCUtils.closeResource(conn, ps);
}
}1)增加表数据:
String sql = "update students set grade = ? where id = ?"; update(sql,4,90);
2)更新表数据:
String sql = "update students set grade = ? where id = ?"; update(sql,4,90);
3) 删除表数据:
String sql = "delete from students where id = ?"; update(sql,4);
4、使用PreparedStatement实现查询操作
首先我们需要学习一种思想:
ORM思想(object relational mapping)
一个数据表对应一个java类
表中的一条记录对应java类的一个对象
表中的一个字段对应java类的一个属性
我们首先新建一个students类,内容如下:
public class Students {
private int id;
private String name;
private int grade;
public Students() {
}
public Students(int id, String name, int grade) {
this.id = id;
this.name = name;
this.grade = grade;
}
public int getId() {
return id;
}
public void setId(int id) {
this.id = id;
}
public String getName() {
return name;
}
public void setName(String name) {
this.name = name;
}
public int getGrade() {
return grade;
}
public void setGrade(int grade) {
this.grade = grade;
}
@Override
public String toString() {
return id+","+name+","+grade;
}
}1)单条数据的查询
// 通用的针对于不同表的查询:返回一个对象 (version 1.0)
public <T> T getInstance(Class<T> clazz, String sql, Object... args) {
Connection conn = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
// 1.获取数据库连接
conn = JDBCUtils.getConnection();
// 2.预编译sql语句,得到PreparedStatement对象
ps = conn.prepareStatement(sql);
// 3.填充占位符
for (int i = 0; i < args.length; i++) {
ps.setObject(i + 1, args[i]);
}
// 4.执行executeQuery(),得到结果集:ResultSet
rs = ps.executeQuery();
// 5.得到结果集的元数据:ResultSetMetaData
ResultSetMetaData rsmd = rs.getMetaData();
// 6.1通过ResultSetMetaData得到columnCount,columnLabel;通过ResultSet得到列值
int columnCount = rsmd.getColumnCount();
if (rs.next()) {
T t = clazz.newInstance();
for (int i = 0; i < columnCount; i++) {// 遍历每一个列
// 获取列值
Object columnVal = rs.getObject(i + 1);
// 获取列的别名:列的别名,使用类的属性名充当
String columnLabel = rsmd.getColumnLabel(i + 1);
// 6.2使用反射,给对象的相应属性赋值
Field field = clazz.getDeclaredField(columnLabel);
field.setAccessible(true);
field.set(t, columnVal);
}
return t;
}
} catch (Exception e) {
e.printStackTrace();
} finally {
// 7.关闭资源
JDBCUtils.closeResource(conn, ps, rs);
}
return null;
}调用上面的方法,实现查询单条记录:
String sql = "select * from students where id = ?"; Students s = getInstance(Students.class,sql,3); System.out.println(s);
2)多条数据的查询
public <T> List<T> getForList(Class<T> clazz, String sql, Object... args){
Connection conn = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
//1.获取数据库连接
conn = JDBCUtils.getConnection();
//2.预编译sql语句,得到preparedStatement对象
ps = conn.prepareStatement(sql);
//3.填充占位符
for (int i = 0; i < args.length; i++) {
ps.setObject(i+1,args[i]);
}
//4.执行executeQuery(),得到结果集:resultset
rs = ps.executeQuery();
//5.获取结果集的元数据ResultSetMetaData
ResultSetMetaData rsmd = rs.getMetaData();
//6.通过获取ResultSetMetaData结果集的列数
int columnCount = rsmd.getColumnCount();
//7.创建集合对象
ArrayList<T> list = new ArrayList<T>();
while (rs.next()){
T t = clazz.newInstance();
//处理结果集一行数据中的每一个列
for (int i = 0; i < columnCount; i++) {
Object value = rs.getObject(i+1);
//获取每个列的别名getColumnLabel---针对于表的字段名和类的属性名不同
String columnName = rsmd.getColumnLabel(i+1);
//给s对象指定的某个属性,赋值为value
Field field = clazz.getDeclaredField(columnName);
field.setAccessible(true);
field.set(t,value);
}
list.add(t);
}
return list;
} catch (Exception e) {
e.printStackTrace();
}finally {
JDBCUtils.closeResource(conn,ps,rs);
}
return null;
}调用上面的方法,实现查询多条记录:
String sql = "select * from students"; List<Students> list = getForList(Students.class,sql); list.forEach(System.out::println);
PreparedStatement的注意事项
1.SQL注入攻击
虽然PreparedStatement可以有效地防止SQL注入攻击,但是在设置参数时也要注意一些细节。例如,在使用setString()方法设置字符串类型的参数时,应该使用单引号将字符串括起来。否则,可能会造成SQL语句语法错误。
PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM users WHERE username = ?");
pstmt.setString(1, "张三"); //正确方式
pstmt.setString(1, 张三); //错误方式2.资源的释放
与Statement一样,使用完PreparedStatement对象后,我们也需要手动关闭对象以释放资源,防止资源泄露。
关闭PreparedStatement对象可以调用PreparedStatement对象的close()方法。
下面是一个使用PreparedStatement的示例代码:
public void queryUsersByName(String name) throws SQLException {
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try {
conn = getConnection();
String sql = "SELECT * FROM users WHERE name = ?";
pstmt = conn.prepareStatement(sql);
pstmt.setString(1, name);
rs = pstmt.executeQuery();
while (rs.next()) {
// 处理结果集
}
} finally {
// 释放资源
if (rs != null) {
rs.close();
}
if (pstmt != null) {
pstmt.close();
}
if (conn != null) {
conn.close();
}
}
}
在finally块中,我们按照ResultSet、PreparedStatement、Connection的顺序关闭对象。使用try-finally块可以确保即使在处理过程中出现异常,也能够及时关闭对象以释放资源。
3.批处理操作
批处理是指一次向数据库发送多条 SQL 语句进行执行的操作,可以有效提高数据库操作效率。在使用 Statement 执行批处理时,需要在 SQL 语句中使用分号(;)来分隔多个 SQL 语句,但是在使用 PreparedStatement 执行批处理时,只需要在多次调用 addBatch() 方法时,传入不同的 SQL 语句即可。
以下是一个 PreparedStatement 批处理的示例:
String sql = "INSERT INTO users(name, age) VALUES(?,?)";
PreparedStatement ps = conn.prepareStatement(sql);
for(int i=0; i<10; i++){
ps.setString(1, "user"+i);
ps.setInt(2, i);
ps.addBatch();
}
int[] result = ps.executeBatch();
4.数据库事务
事务是指一组操作,要么全部执行成功,要么全部执行失败。在数据库操作中,事务通常用于保证数据的一致性和完整性,一旦某个操作失败,整个事务将回滚到最初状态,所有操作都将失效。
在使用 PreparedStatement 进行数据库操作时,可以结合事务来保证数据的一致性和完整性。在 JDBC 中,事务的使用可以通过 Connection 对象来实现,其核心方法如下:
- setAutoCommit(boolean autoCommit): 设置是否自动提交事务,默认值为 true,即自动提交。
- commit(): 手动提交事务。
- rollback(): 回滚事务。
以下是一个 PreparedStatement 结合事务的示例:
Connection conn = null;
PreparedStatement ps = null;
try{
conn = getConnection();
// 关闭自动提交,开启事务
conn.setAutoCommit(false);
String sql = "INSERT INTO users(name, age) VALUES(?,?)";
ps = conn.prepareStatement(sql);
ps.setString(1, "user1");
ps.setInt(2, 20);
ps.executeUpdate();
ps.setString(1, "user2");
ps.setInt(2, 30);
ps.executeUpdate();
// 手动提交事务
conn.commit();
}catch(SQLException e){
// 回滚事务
if(conn != null){
try{
conn.rollback();
}catch(SQLException ex){
ex.printStackTrace();
}
}
e.printStackTrace();
}finally{
JdbcUtils.release(conn, ps, null);
}
总结
PreparedStatement 是一种高效、安全、易用的数据库操作方式,具有多种优点,如可防止 SQL 注入攻击、支持参数化查询、可以重复使用等。在实际开发中,建议优先选择使用 PreparedStatement 进行数据库操作。
如果还有其他问题或需要进一步了解 PreparedStatement,可以查阅 JDK API 文档或者其他相关资料。
相对于Statement,PreparedStatement的优点是什么?
1、PreparedStatement有助于防止SQL注入,因为它会自动对特殊字符转义。
2、PreparedStatement可以用来进行动态查询。
3、PreparedStatement执行更快。尤其当你重用它或者使用它的拼量查询接口执行多条语句时。
4、使用PreparedStatement的setter方法更容易写出面向对象的代码,而Statement的话,我们得拼接字符串来生成查询语句。
如果参数太多了,字符串拼接看起来会非常丑陋并且容易出错。
到此这篇关于JDBC中PreparedStatement详解以及应用场景实例介绍的文章就介绍到这了,更多相关JDBC中PreparedStatement详解内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!