8-2、preparedStatement(預編譯聲明)、時間類型、大數據(保存MP3等)、批處理(針對增刪改,沒有查)


1、preparedStatement(預編譯聲明)

l  它是Statement接口的子接口;

l  強大之處:

  • 防SQL攻擊;
  • 提高代碼的可讀性、可維護性;
  • 提高效率!

l  學習PreparedStatement的用法:

  • 如何得到PreparedStatement對象:

¨       給出SQL模板!

¨       調用Connection的PreparedStatement prepareStatement(String sql模板);

¨       調用pstmt的setXxx()系列方法sql模板中的?賦值!

¨       調用pstmt的executeUpdate()或executeQuery(),但它的方法都沒有參數。

l  預處理的原理

  • 服務器的工作:

¨       校驗sql語句的語法!

¨       編譯:一個與函數相似的東西!

¨       執行:調用函數

  • PreparedStatement:

¨       前提:連接的數據庫必須支持預處理!幾乎沒有不支持的!

¨       每個pstmt都與一個sql模板綁定在一起,先把sql模板給數據庫,數據庫先進行校驗,再進行編譯。執行時只是把參數傳遞過去而已!

¨       若二次執行時,就不用再次校驗語法,也不用再次編譯!直接執行!

 

 

1 什么是SQL攻擊

在需要用戶輸入的地方,用戶輸入的是SQL語句的片段,最終用戶輸入的SQL片段與我們DAO中寫的SQL語句合成一個完整的SQL語句!例如用戶在登錄時輸入的用戶名和密碼都是為SQL語句的片段!

 

2 演示SQL攻擊

首先我們需要創建一張用戶表,用來存儲用戶的信息。

CREATE TABLE user(

         uid   CHAR(32) PRIMARY KEY,

         username        VARCHAR(30) UNIQUE KEY NOT NULL,

         PASSWORD    VARCHAR(30)

);

 

INSERT INTO user VALUES('U_1001', 'zs', 'zs');

SELECT * FROM user;

現在用戶表中只有一行記錄,就是zs。

下面我們寫一個login()方法!

    public void login(String username, String password) {

       Connection con = null;

       Statement stmt = null;

       ResultSet rs = null;

       try {

           con = JdbcUtils.getConnection();

           stmt = con.createStatement();

           String sql = "SELECT * FROM user WHERE " +

                  "username='" + username +

                  "' and password='" + password + "'";

           rs = stmt.executeQuery(sql);

           if(rs.next()) {

              System.out.println("歡迎" + rs.getString("username"));

           } else {

              System.out.println("用戶名或密碼錯誤!");

           }

       } catch (Exception e) {

           throw new RuntimeException(e);

       } finally {

           JdbcUtils.close(con, stmt, rs);

       }     

    }

 

下面是調用這個方法的代碼:

login("a' or 'a'='a", "a' or 'a'='a");

 

這行當前會使我們登錄成功!因為是輸入的用戶名和密碼是SQL語句片段,最終與我們的login()方法中的SQL語句組合在一起!我們來看看組合在一起的SQL語句:

SELECT * FROM tab_user WHERE username='a' or 'a'='a' and password='a' or 'a'='a'

 

3 防止SQL攻擊

l  過濾用戶輸入的數據中是否包含非法字符;

l  分步交驗!先使用用戶名來查詢用戶,如果查找到了,再比較密碼;

l  使用PreparedStatement。

 

4 PreparedStatement是什么?

PreparedStatement叫預編譯聲明!

PreparedStatement是Statement的子接口,你可以使用PreparedStatement來替換Statement。

PreparedStatement的好處:

l  防止SQL攻擊;

l  提高代碼的可讀性,以可維護性;

l  提高效率。

 

5 PreparedStatement的使用(可以重復使用,但需要清空參數clearParameters…)

l  使用Connection的preparedStatement(String sql):即創建它時就讓它與一條SQL模板綁定;

l  調用PreparedStatement的setXXX()系列方法為問號設置值

l  調用executeUpdate()或executeQuery()方法,但要注意,調用沒有參數的方法;

 

String sql = “select * from tab_student where s_number=?”;

PreparedStatement pstmt = con.prepareStatement(sql);

pstmt.setString(1, “S_1001”);

ResultSet rs = pstmt.executeQuery();

rs.close();

pstmt.clearParameters();[崔3] 

pstmt.setString(1, “S_1002”);

rs = pstmt.executeQuery();

 

在使用Connection創建PreparedStatement對象時需要給出一個SQL模板,所謂SQL模板就是有“?”的SQL語句,其中“?”就是參數。

在得到PreparedStatement對象后,調用它的setXXX()方法為“?”賦值,這樣就可以得到把模板變成一條完整的SQL語句,然后再調用PreparedStatement對象的executeQuery()方法獲取ResultSet對象。

注意PreparedStatement對象獨有的executeQuery()方法是沒有參數的,而Statement的executeQuery()是需要參數(SQL語句)的。因為在創建PreparedStatement對象時已經讓它與一條SQL模板綁定在一起了,所以在調用它的executeQuery()和executeUpdate()方法時就不再需要參數了。

PreparedStatement最大的好處就是在於重復使用同一模板,給予其不同的參數來重復的使用它。這才是真正提高效率的原因。

 

所以,建議大家在今后的開發中,無論什么情況,都去需要PreparedStatement,而不是使用Statement

Mysql默認是關閉的,所以:url=jdbc:mysql://localhost:3306/test?useServerPrepStmts=true&cachePrepStmts=true

 

 

2、時間類型(記得用這個知識點,會查)

數據庫類型與java中類型的對應關系:

DATE à java.sql.Date

TIME à java.sql.Time

TIMESTAMP à java.sql.Timestamp

 

l  領域對象(domain)中的所有屬性不能出現java.sql包下的東西!即不能使用java.sql.Date;

l  ResultSet#getDate()返回的是java.sql.Date()

l  PreparedStatement#setDate(int, Date),其中第二個參數也是java.sql.Date

 

時間類型的轉換:

l  java.util.Date à java.sql.Date、Time、Timestamp

  • 把util的Date轉換成毫秒值
  • 使用毫秒值創建sql的Date、Time、Timestamp

l  java.sql.Date、Time、Timestamp à java.util.Date

  • 這一步不需要處理了:因為java.sql.Date是java.util.Date;

java.util.Date date = new java.util.Date();

long l = date.getTime();

java.sql.Date sqlDate = new java.sql.Date(l);

 

 

 

 

1 Java中的時間類型

java.sql包下給出三個與數據庫相關的日期時間類型,分別是:

l  Date:表示日期,只有年月日,沒有時分秒。會丟失時間;

l  Time:表示時間,只有時分秒,沒有年月日。會丟失日期;

l  Timestamp:表示時間戳,有年月日時分秒,以及毫秒。

 

這三個類都是java.util.Date的子類。

 

  

 

2 時間類型相互轉換

把數據庫的三種時間類型賦給java.util.Date,基本不用轉換,因為這是把子類對象給父類的引用,不需要轉換。

java.sql.Date date = …

java.util.Date d = date;

 

java.sql.Time time = …

java.util.Date d = time;

 

java.sql.Timestamp timestamp = …

java.util.Date d = timestamp;

 

當需要把java.util.Date轉換成數據庫的三種時間類型時,這就不能直接賦值了,這需要使用數據庫三種時間類型的構造器。java.sql包下的Date、Time、TimeStamp三個類的構造器都需要一個long類型的參數,表示毫秒值。創建這三個類型的對象,只需要有毫秒值即可。我們知道java.util.Date有getTime()方法可以獲取毫秒值,那么這個轉換也就不是什么問題了。

 

java.utl.Date d = new java.util.Date();

java.sql.Date date = new java.sql.Date(d.getTime());//會丟失時分秒

Time time = new Time(d.getTime());//會丟失年月日

Timestamp timestamp = new Timestamp(d.getTime());

 

3 代碼

我們來創建一個dt表:

CREATE TABLE dt(

  d DATE,

  t TIME,

  ts TIMESTAMP

)

 

下面是向dt表中插入數據的代碼:

    @Test

    public void fun1() throws SQLException {

       Connection con = JdbcUtils.getConnection();

       String sql = "insert into dt value(?,?,?)";

       PreparedStatement pstmt = con.prepareStatement(sql);

      

       java.util.Date d = new java.util.Date();

       pstmt.setDate(1, new java.sql.Date(d.getTime()));

       pstmt.setTime(2, new Time(d.getTime()));

       pstmt.setTimestamp(3, new Timestamp(d.getTime()));

       pstmt.executeUpdate();

    }

 

下面是從dt表中查詢數據的代碼:

    @Test

    public void fun2() throws SQLException {

       Connection con = JdbcUtils.getConnection();

       String sql = "select * from dt";

       PreparedStatement pstmt = con.prepareStatement(sql);

       ResultSet rs = pstmt.executeQuery();

      

       rs.next();

       java.util.Date d1 = rs.getDate(1);

       java.util.Date d2 = rs.getTime(2);

       java.util.Date d3 = rs.getTimestamp(3);

      

       System.out.println(d1);

       System.out.println(d2);

       System.out.println(d3);

    }

 

大數據(保存MP3等)

目標:把mp3保存到數據庫中!

在my.ini中添加如下配置!

max_allowed_packet=10485760

(注意:設置完要重新啟動mysql服務)!!!!!!!!!!!!!

 

 

 

1 什么是大數據(blob)【pstmt.setBinaryStream(…)】

所謂大數據,就是大的字節數據,或大的字符數據。標准SQL中提供了如下類型來保存大數據類型:

類型

長度

Tinyblob(字節)

28--1B(256B)

blob

216-1B(64K)

mediumblob

224-1B(16M)

longblob

232-1B(4G)

Tinyclob(字符)

28--1B(256B)

clob

216-1B(64K)

mediumclob

224-1B(16M)

longclob

232-1B(4G)

 

但是,在mysql中沒有提供tinyclob、clob、mediumclob、longclob四種類型,而是使用如下四種類型來處理文本大數據:

類型

長度

tinytext

28--1B(256B)

text

216-1B(64K)

mediumtext

224-1B(16M)

longtext

232-1B(4G)

 

首先我們需要創建一張表,表中要有一個mediumblob(16M)類型的字段。

CREATE TABLE tab_bin(

         id    INT           PRIMARY KEY AUTO_INCREMENT,

         filename  VARCHAR(100),

         data        MEDIUMBLOB

);

 

  向數據庫插入二進制數據需要使用PreparedStatement為原setBinaryStream(int, InputSteam)方法來完成。

           con = JdbcUtils.getConnection();

           String sql = "insert into tab_bin(filename,data) values(?, ?)";

           pstmt = con.prepareStatement(sql);

           pstmt.setString(1, "a.jpg");

           InputStream in = new FileInputStream("f:\\a.jpg");[崔5] 

           pstmt.setBinaryStream(2, in);[崔6] 

           pstmt.executeUpdate();

 

讀取二進制數據,需要在查詢后使用ResultSet類的getBinaryStream()方法來獲取輸入流對象。也就是說,PreparedStatement有setXXX(),那么ResultSet就有getXXX()。

           con = JdbcUtils.getConnection();

           String sql = "select filename,data from tab_bin where id=?";

           pstmt = con.prepareStatement(sql);

           pstmt.setInt(1, 1);

           rs = pstmt.executeQuery();

           rs.next();

          

           String filename = rs.getString("filename");

           OutputStream out = new FileOutputStream("F:\\" + filename)[崔7] ;

          

           InputStream in = rs.getBinaryStream("data")[崔8] ;

           IOUtils.copy(in, out)[崔9] ;

           out.close();

 

  還有一種方法,就是把要存儲的數據包裝成Blob類型,然后調用PreparedStatement的setBlob()方法來設置數據

       con = JdbcUtils.getConnection();

       String sql = "insert into tab_bin(filename,data) values(?, ?)";

       pstmt = con.prepareStatement(sql);

       pstmt.setString(1, "a.jpg");

       File file = new File("f:\\a.jpg");

       byte[] datas = FileUtils.getBytes(file);//獲取文件中的數據

       Blob blob = new SerialBlob(datas);//創建Blob對象

       pstmt.setBlob(2, blob);//設置Blob類型的參數

       pstmt.executeUpdate();

       con = JdbcUtils.getConnection();

       String sql = "select filename,data from tab_bin where id=?";

       pstmt = con.prepareStatement(sql);

       pstmt.setInt(1, 1);

       rs = pstmt.executeQuery();

       rs.next();

      

       String filename = rs.getString("filename");

       File file = new File("F:\\" + filename) ;

       Blob blob = rs.getBlob("data");

       byte[] datas = blob.getBytes(0, (int)file.length());

       FileUtils.writeByteArrayToFile(file, datas);

 

批處理(針對增刪改,沒有查)

 

1 Statement批處理

批處理就是一批一批的處理,而不是一個一個的處理!

當你有10條SQL語句要執行時,一次向服務器發送一條SQL語句,這么做效率上很差!處理的方案是使用批處理,即一次向服務器發送多條SQL語句,然后由服務器一次性處理。

批處理只針對更新(增、刪、改)語句,批處理沒有查詢什么事兒!

 

可以多次調用Statement類的addBatch(String sql)方法,把需要執行的所有SQL語句添加到一個“批”中,然后調用Statement類的executeBatch()方法來執行當前“批”中的語句。

l  void addBatch(String sql):添加一條語句到“批”中;

l  int[] executeBatch():執行“批”中所有語句。返回值表示每條語句所影響的行數據;

l  void clearBatch():清空“批”中的所有語句。

 

           for(int i = 0; i < 10; i++) {

              String number = "S_10" + i;

              String name = "stu" + i;

              int age = 20 + i;

              String gender = i % 2 == 0 ? "male" : "female";

              String sql = "insert into stu values('" + number + "', '" + name + "', " + age + ", '" + gender + "')";

              stmt .addBatch(sql);

           }

           stmt.executeBatch();

 

當執行了“批”之后,“批”中的SQL語句就會被清空!也就是說,連續兩次調用executeBatch()相當於調用一次!因為第二次調用時,“批”中已經沒有SQL語句了。

還可以在執行“批”之前,調用Statement的clearBatch()方法來清空“批”!

 

2 PreparedStatement批處理(給?賦值)

PreparedStatement的批處理有所不同,因為每個PreparedStatement對象都綁定一條SQL模板。所以向PreparedStatement中添加的不是SQL語句,而是給“?”賦值。

           con = JdbcUtils.getConnection();

           String sql = "insert into stu values(?,?,?,?)";

           pstmt = con.prepareStatement(sql);

           for(int i = 0; i < 10; i++) {

              pstmt.setString(1, "S_10" + i);

              pstmt.setString(2, "stu" + i);

              pstmt.setInt(3, 20 + i);

              pstmt.setString(4, i % 2 == 0 ? "male" : "female");

              pstmt.addBatch() ;(沒有參數)

           }

           pstmt.executeBatch ();


 

 

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM