JDBC-API②(ResultSet、PreparedStatement)

导读:本篇文章讲解 JDBC-API②(ResultSet、PreparedStatement),希望对大家有帮助,欢迎收藏,转发!站点地址:www.bmabk.com,来源:原文

也许你感觉自己的努力总是徒劳无功,但不必怀疑,你每天都离顶点更进一步。今天的你离顶点还遥遥无期。但你通过今天的努力,积蓄了明天勇攀高峰的力量。加油!

ResultSet

ResultSet(结果集对象)作用:

  • 封装了SQL查询语句的结果。

而执行了DQL语句后就会返回该对象,对应执行DQL语句的方法如下:

ResultSet  executeQuery(sql):执行DQL 语句,返回 ResultSet 对象

那么我们就需要从 ResultSet 对象中获取我们想要的数据。ResultSet 对象提供了操作查询结果数据的方法,如下:

boolean next()

  • 将光标从当前位置向前移动一行
  • 判断当前行是否为有效行

方法返回值说明:

  • true : 有效航,当前行有数据
  • false : 无效行,当前行没有数据

xxx getXxx(参数):获取数据

  • xxx : 数据类型;如: int getInt(参数) ;String getString(参数)
  • 参数(两种选一个用)
    • int类型的参数:列的编号,从1开始
    • String类型的参数: 列的名称

如下图为执行SQL语句后的结果

在这里插入图片描述

一开始光标指定于第一行前,如图所示红色箭头指向于表头行。当我们调用了 next() 方法后,光标就下移到第一行数据,并且方法返回true,此时就可以通过 getInt("id") 获取当前行id字段的值,也可以通过 getString("name") 获取当前行name字段的值。如果想获取下一行的数据,继续调用 next() 方法,以此类推。

例如:我们获取下表的id,姓名,地址列
在这里插入图片描述
代码实现:

public class ReadJDBC {
    public static void main(String[] args) throws Exception {

        String url = "jdbc:mysql://localhost:3306/sql1?useSSL=false";
        String username = "root";
        String password = "********";
        Connection connection = DriverManager.getConnection(url,username,password);
        String sql = "select * from stu";
        Statement statement = connection.createStatement();
        ResultSet resultSet = statement.executeQuery(sql);
        while (resultSet.next()) {
            System.out.print(resultSet.getInt(1));
            System.out.print(" " + resultSet.getString(2));
            System.out.println(" " + resultSet.getString(5));
        }
        //释放资源
        resultSet.close();
        statement.close();
        connection.close();
    }
}

注意这里要多关闭一个资源,也就是返回的ResultSet的对象

案例

我们现在有一个需求:将每个人的数据封装在Account对象中,并且储存到ArrayList集合中。
代码实现:

public class ReadJDBC {
    public static void main(String[] args) throws Exception {

        String url = "jdbc:mysql://localhost:3306/sql1?useSSL=false";
        String username = "root";
        String password = "***********";
        Connection connection = DriverManager.getConnection(url,username,password);
        String sql = "select * from stu";
        Statement statement = connection.createStatement();
        ResultSet resultSet = statement.executeQuery(sql);
//        while (resultSet.next()) {
//            System.out.print(resultSet.getInt(1));
//            System.out.print(" " + resultSet.getString(2));
//            System.out.println(" " + resultSet.getString(5));
//        }
        ArrayList<Account> accounts = new ArrayList<>();
        while (resultSet.next()) {
            Account account = new Account();
            account.setName(resultSet.getString(2));
            account.setAge(resultSet.getInt(3));
            account.setAddress(resultSet.getString(5));
            accounts.add(account);
        }
        //遍历这个列表
        for (Account account : accounts) {
            System.out.print(account.getName());
            System.out.print(account.getAge());
            System.out.println(account.getAddress());
        }
        //释放资源
        resultSet.close();
        statement.close();
        connection.close();
    }
}
class Account{
    private String name;
    private int age;
    private String address;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

    public String getAddress() {
        return address;
    }

    public void setAddress(String address) {
        this.address = address;
    }
}

PreparedStatement

作用:预编译SQL语句并执行:预防SQL注入问题

首先我们要知道什么是SQL注入?

代码模拟SQL注入问题

@Test
public void testLogin() throws  Exception {
    //2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
    String url = "jdbc:mysql:///db1?useSSL=false";
    String username = "root";
    String password = "1234";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "sjdljfld";
    String pwd = "' or '1' = '1";
    String sql = "select * from tb_user where username = '"+name+"' and password = '"+pwd+"'";
    // 获取stmt对象
    Statement stmt = conn.createStatement();
    // 执行sql
    ResultSet rs = stmt.executeQuery(sql);
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }

    //7. 释放资源
    rs.close();
    stmt.close();
    conn.close();
}

上面代码是将用户名和密码拼接到sql语句中,拼接后的sql语句如下

select * from tb_user where username = 'sjdljfld' and password = ''or '1' = '1'

从上面语句可以看出条件 username = 'sjdljfld' and password = '' 不管是否满足,而 or 后面的 '1' = '1' 是始终满足的,最终条件是成立的,就可以正常的进行登陆了。

PreparedStatement用法

在这里插入图片描述
我们将上面的代码用PreparedStatement进行改进:

@Test
public void testPreparedStatement() throws  Exception {
    //2. 获取连接:如果连接的是本机mysql并且端口是默认的 3306 可以简化书写
    String url = "jdbc:mysql:///db1?useSSL=false";
    String username = "root";
    String password = "***********";
    Connection conn = DriverManager.getConnection(url, username, password);

    // 接收用户输入 用户名和密码
    String name = "zhangsan";
    String pwd = "' or '1' = '1";

    // 定义sql
    String sql = "select * from tb_user where username = ? and password = ?";
    // 获取pstmt对象
    PreparedStatement pstmt = conn.prepareStatement(sql);
    // 设置?的值
    pstmt.setString(1,name);
    pstmt.setString(2,pwd);
    // 执行sql
    ResultSet rs = pstmt.executeQuery();
    // 判断登录是否成功
    if(rs.next()){
        System.out.println("登录成功~");
    }else{
        System.out.println("登录失败~");
    }
    //7. 释放资源
    rs.close();
    pstmt.close();
    conn.close();
}

那么PreparedStatement又是如何解决的呢?它是将特殊字符进行了转义,转义的SQL如下:

select * from tb_user where username = 'sjdljfld' and password = '\'or \'1\' = \'1'

原理

PreparedStatement 好处:

  • 预编译SQL,性能更高
  • 防止SQL注入:将敏感字符进行转义

在这里插入图片描述

Java代码操作数据库流程如图所示:

  • 将sql语句发送到MySQL服务器端

  • MySQL服务端会对sql语句进行如下操作

    • ① 检查SQL语句

      检查SQL语句的语法是否正确。

    • ②编译SQL语句。将SQL语句编译成可执行的函数。

      检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语句将不需要重复执行。这样就提高了性能。

    • ③执行SQL语句

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/122171.html

(0)
飞熊的头像飞熊bm

相关推荐

发表回复

登录后才能评论
极客之音——专业性很强的中文编程技术网站,欢迎收藏到浏览器,订阅我们!