[大数据]【学习笔记】JDBC：常用接口|SQL注入|批处理

JDBC：常用接口|SQL注入|批处理

Driver接口

• Driver接口由数据库厂家提供，对于java开发者而言，只需要使用Driver接口就可以了。

• 在编程中要连接数据库，必须先装载特定厂商的数据库驱动程序。不同的数据库有不同的装载方法。

• 驱动：就是各个数据库厂商实现的Sun公司提出的JDBC接口。即对Connection等接口的实现类的jar文件。

• 装载MySQL驱动：

  • Class.forName("com.mysql.jdbc.Driver");

  • 较新的版本应该要写这个：

    Class.forName("com.mysql.cj.jdbc.Driver");
    

Connection接口

• Connection与特定数据库的连接（会话），在连接上下文中执行SQL语句并返回结果。

• DriverManager的getConnection()方法建立在JDBC URL中定义的数据库Connection连接上。

• 连接MySQL数据库：

  • Connection conn = DriverManager.getConnection("jdbc:mysql://host:port/database","user","password");

  • 在实际写的时候要修改对应字段，如：

    Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/testjdbc","root","root");

Statement接口

• 用于执行静态SQL语句并返回它所生成结果的对象。

• 三种Statement类：

  • Statement：

    • 由createStatement创建，用于发送简单的SQL语句（不带参数的）。

    • statement的缺点：

      • ①当SQL语句中要用到变量时，对于字符串的拼接上比较麻烦，如

      

      这样是不行的。

      

      必须要这样写：

      

      是可以正确执行的。

      • ②不能防止SQL注入的问题。

      什么叫SQL注入，比如，我们执行一个删除操作：

      

      但是，在实际过程中，这个id=5一般是由外界传过来的一个参数：

      

      如果在这个外界传入的字符串中，进行恶意的书写，例如：

      

      这样一执行完，我们表中的数据就都没有了。

      这就是SQL注入的一个威胁。

      所以在实际开发中一般不会使用statement。

  • PreparedStatement：

    • 继承自Statement接口，由prepareStatement创建，用于发送含有一个或多个输入参数的sql语句。PreparedStatement对象比Statement对象的效率更高，并且可以防止SQL注入。我们一般都用PreparedStatement。

    • 

      它在写sql语句的时候，不像原来那样，要么把写好的字符串传到字段值上，要么通过外界传参传入，而是使用“？”占位符。这样一来，可以避免字符串拼接时的麻烦，也可以防止SQL注入的问题。

      我的占位符在这写好后，要传参进来的时候，就必须是个字符串、时间等等，你写"or 1=1"这样的语句，它有一个预处理的机制，就传不进来。

    • 

      那么如何向占位符处传入参数呢？比如此处的username、pwd都是字符串，于是可以使用setString()方法。（如果参数是日期、int、double等其他类型，请对应于相应的其他方法）

      其中第一个参数为“第几个占位符”（即占位符的索引值，是由1开始，而不是0），第二个参数即为你想向那个占位符处传递的数据。

    • 最后再用execute()执行一下：

      

      

    • 如果觉得setString()方法，还需要先看看你的参数应该是什么类型，再采取相对应的方法，太麻烦的话，你可以直接统统使用setObject()方法。

      

      

• CallableStatement：

  • 继承自PreparedStatement。由方法prePareCall创建，用于调用存储过程。

• 常用的Statement方法：

  • execute()：运行语句，返回是否有结果集。

  • executeQuery()：运行select语句，返回ResultSet结果集。

    • Result结果集是什么意思？

      

      

      调用executeQuery()方法，返回一个ResultSet类型的结果集的数据，可以通过类似于迭代器的方法对其操作：

      

      

      此处不写select * from 是想表达，还可以对每一条记录的某几个列进行操作。

      以上也就是ResultSet的一个经典的使用场景。

  • executeUpdate()：运行insert/update/delete操作返回更新的行数。

• 注意最后你的Connection一定要关闭。（后开的先关）

  [或者在try…catch…finally…的finally代码段里写。]

  

不止Connection，你的ResultSet、Statement都需要.close();

遵循：ResultSet --> Statement --> Connection这样的关闭顺序。（后开的先关么）

如果是用try…catch…，一定要将三个try…catch…块分开写。

批处理

Batch

对于大量的批处理，建议使用Statement，因为PreparedStatement的预编译空间有限，当数据量特别大时，会发生异常。

批处理就是，一次将一堆sql语句，成批次地执行。比如需要一次插入两万条数据、十万条数据，这时使用批处理，可以大大提高效率。

可以看到只耗时两秒多，就插入了两万条数据。

查看一下。确实插入了两万条。（注意右下角可以翻页）

注意用的时候：

①把JDBC改为手动提交。

②尽量使用Statement。（也不是不能用其他的，只是这个更加地不会报异常）