Java数据库操作小结(Oracle)
Statement 和 PreparedStatement之间的区别
1.在对数据库只执行一次性存取的时侯,用Statement对象进行处理。
2.PreparedStatement是预编译的,对于批量处理可以大大提高效率,也叫JDBC存储过程。
3.在执行SQL命令时,我们有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。无论多少次地使用同一个SQL命令,PreparedStatement都只对它解析和编译一次。当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译。
使用 PreparedStatement 代替 Statement
在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement。也就是说,在任何时候都不要使用Statement。
1.代码的可读性和可维护性。
虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说。都比直接用Statement的代码高很多档次。
PreparedStatement
Connection conn = null; PreparedStatement pstmt = null; conn = DriverManager.getConnection(JDBCURL, DBUSER, DBPASSWORD); String sql = "update Person set age= ?,tel= ?,summary = ? where id = ?"; pstmt = conn.prepareStatement(sql); pstmt.setString(1,age); pstmt.setString(2,tel); pstmt.setString(3,summary); pstmt.setString(4,pId); pstmt.executeUpdate();
Statement
Connection conn = null; Statement stmt = null; conn = DriverManager.getConnection(JDBCURL, DBUSER, DBPASSWORD); String sql = "update Person set age = '"+age+"',tel = '"+tel+"',summary = '"+summary+"' where id = '"+summary+"'"; stmt = conn.prepareStatement(sql); stmt.executeUpdate();
2.PreparedStatement尽最大可能提高性能。
3.最重要的一点是极大地提高了安全性。
即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道。
String sql = "select * from tb_user where name = '"+varname+"' and passwd ='"+varpasswd+"'";
@1.如果我们把[' or '1' = '1]作为varpasswd传入进来,用户名随意,看看会成为什么?
select * from tb_user = '随意' and passwd = '' or '1' = '1';
因为'1'='1'肯定成立,所以可以任何通过验证;
@2.如果传入的变量中含有 ' 字符,则执行sql语句将会出错;
@3.更有甚者,把[';drop table tb_name;]作为varpasswd传入进来,则:
select * from tb_user = '随意' and passwd = '';drop table tb_user;
有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行。
----------------------------------------------------------------------------------------------------
以下是java使用PreparedStatement进行数据库连接和操作的代码
package com.miracle.test;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class DBConnectionTest {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement pstmt = null;
//String driver = "com.cownew.JDBMonitor.jdbc.DBDriver";
String driver = "oracle.jdbc.driver.OracleDriver";
//String url = "listener=jdbc:oracle:thin:@127.0.0.1:1521:orcl";
String url = "jdbc:oracle:thin:@127.0.0.1:1521:orcl";
String user = "admin";
String password = "1";
String sql = "select * from sysuser where account= ? and password= ?s";
try {
Class.forName(driver);
} catch (ClassNotFoundException e) {
System.out.println("加载驱动类时出现异常!");
e.printStackTrace();
}
try {
conn = DriverManager.getConnection(url, user, password);
pstmt = conn.prepareStatement(sql);
pstmt.setString(1, "root");
pstmt.setString(2, "123");
ResultSet rs = pstmt.executeQuery();
while(rs.next()) {
String name = rs.getString(8);
System.out.println(name);
}
pstmt.close();
} catch (SQLException e) {
System.out.println("出现SQLException异常");
e.printStackTrace();
} finally {
try {
if(conn!=null)
conn.close();
} catch (SQLException e) {
System.out.println("关闭数据库连接时出现异常");
e.printStackTrace();
}
}
}
}