JDBC 核心API

JAVAJSD_V01JDBCDAY02_003.png

Statement

Statement执行查询

• 创建Statement的方式：
  Connection.createStatement();

• 执行INSERT，UPDATE和DELETE：
  Statement.executeUpdate()

• 执行SELECT：
  Statement.executeQuery()

    String sql = "select empno,ename,sal,hiredate from emp";
    Statement stmt = con.createStatement();
    ResultSet rs = stmt.executeQuery(sql);
    //对rs的处理
    stmt.close();
  

executeQuery（）方法将返回SQL语句执行后的结果集

Statemeent执行插入

    String sql = "insert into emp(empno,ename,jop,sal) values(1001,'张三丰',‘Manager’ 9500)";

    int flag = -1;

    try{
        conn = ConnectionSource.getConnection();
        stmt = con.createStatement();
        flag = stmt.executeUpdate(sql);
        //处理结果
    }catch(){
        //处理异常
    }

executeUpdate() 方法将返回SQL语句执行后影响的记录数

Statement执行更改

和INSERT操作完全相同，只是SQL语句不同
String sql = "update emp set sal = 9900 where empno = 1001";
int flag = -1;
try{
con = ConnectionSource.getConnection();
stmt = con.createStatement();
flag = stmt.executeUpdate(sql);
//处理结果
}catch(){
//处理异常
}

PreparedStatement

PreparedStatement原理

• Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句
• Statement每执行一次都要对传入的SQL语句编译一次,效率较差
• 某些情况下,SQL语句只是其中的参数有所不同,其余字句完全相同,适用于PreparedStatement
• 预防sql注入攻击
• PreparedStatement是接口,继承自Statement
• SQL语句提前编译，三种常用方法execute、executeQuery和executeUpdate已被更改,不再需要参数

2017-11-23 20-49-32屏幕截图.png

• PreparedStatement实例包含已事先编译的SQL语句
• SQL语句可有一个或多个IN参数
  IN参数的值在SQL语句创建时未被指定。该语句为每个IN参数保留一个问号（“？”）作为占位符
  每个问号的值必须在该语句执行之前，通过适当的setInt或者setString 方法提供。
• 由于PreparedStatement对象已编译过，所以其执行速度快于Statement对象。因此，多次执行的SQL语句经常创建为PreparedStatement对象,以提高效率。
• 批量处理

PreparedStatement pstmt = con.prepareStatement("UPDATE emp SET job=? WHERE empno=?");
SQL语句已发送给数据库,并编译号为执行作号准备
pstmt.setString(1,"Manager");
pstmt.setInt(2,1001);
对占位符进行初始化
pstmt.executeUpdate();
执行SQL语句

通过PS提升性能

JAVAJSD_V01JDBCDAY02_015.png

• 数据库具备缓存功能，可以对statement的执行计划进行缓存，以避免重复分析

• 缓存原理：
  • 使用statemenet本身作为key并将执行计划存入与statement对应的缓存中
  • 对曾经执行过的statements，再运行时执行计划将重用

• 举例：

  • SELECT a,b FROM t WHERE c = 1;
  • 再次发送相同的statemenet时，数据库会对先前使用过的执行计划进行重用，降低开销

• 悲剧：

  • SELECT a,b FROM t WHERE c = 1;
  • SELECT a,b FROM t WHERE c = 2;

被视作不同的SQL语句,执行计划不可重用

String sql = "select a,b from t where c = ?";
PrearedStatemenet ps = conn.prepareStatement(sql);
    for(){
        ps.setInt(1,i);
        ResultSet rs = ps.executeQuery();
        rs.close();
        ps.close();
    }

SQL Injection简介

• 场景：
  String sql = "select * from t where username = '"+name+"'+and password='"+password+"';

• 输入参数后，数据库接受到完整sql语句将是：
  select * from t where username = 'scott' and password = 'tiger';

• 如果用户输入的passwd参数是:a 'or' 'b' ='b,则数据库收到的SQL语句将是：

  select * from t where username = 'scott' and password = 'a' or 'b' = 'b';

  此SQL语句的where条件将永远为true 此现象被称作SQL注入

通过PS防止SQL Injection

• 对JDBC而言,SQL注入攻击只对Statement有效，对PreparedStatement无效，因为Prepare