1、preparedStatement(預編譯聲明)
l 它是Statement接口的子接口;
l 強大之處:
- 防SQL攻擊;
- 提高代碼的可讀性、可維護性;
- 提高效率!
l 學習PreparedStatement的用法:
- 如何得到PreparedStatement對象:
¨ 給出SQL模板!
¨ 調用Connection的PreparedStatement prepareStatement(String sql模板);
¨ 調用pstmt的setXxx()系列方法sql模板中的?賦值!
¨ 調用pstmt的executeUpdate()或executeQuery(),但它的方法都沒有參數。
l 預處理的原理
- 服務器的工作:
¨ 校驗sql語句的語法!
¨ 編譯:一個與函數相似的東西!
¨ 執行:調用函數
- PreparedStatement:
¨ 前提:連接的數據庫必須支持預處理!幾乎沒有不支持的!
¨ 每個pstmt都與一個sql模板綁定在一起,先把sql模板給數據庫,數據庫先進行校驗,再進行編譯。執行時只是把參數傳遞過去而已!
¨ 若二次執行時,就不用再次校驗語法,也不用再次編譯!直接執行!
1 什么是SQL攻擊
在需要用戶輸入的地方,用戶輸入的是SQL語句的片段,最終用戶輸入的SQL片段與我們DAO中寫的SQL語句合成一個完整的SQL語句!例如用戶在登錄時輸入的用戶名和密碼都是為SQL語句的片段!
2 演示SQL攻擊
首先我們需要創建一張用戶表,用來存儲用戶的信息。
CREATE TABLE user( uid CHAR(32) PRIMARY KEY, username VARCHAR(30) UNIQUE KEY NOT NULL, PASSWORD VARCHAR(30) );
INSERT INTO user VALUES('U_1001', 'zs', 'zs'); SELECT * FROM user; |
現在用戶表中只有一行記錄,就是zs。
下面我們寫一個login()方法!
public void login(String username, String password) { Connection con = null; Statement stmt = null; ResultSet rs = null; try { con = JdbcUtils.getConnection(); stmt = con.createStatement(); String sql = "SELECT * FROM user WHERE " + "username='" + username + "' and password='" + password + "'"; rs = stmt.executeQuery(sql); if(rs.next()) { System.out.println("歡迎" + rs.getString("username")); } else { System.out.println("用戶名或密碼錯誤!"); } } catch (Exception e) { throw new RuntimeException(e); } finally { JdbcUtils.close(con, stmt, rs); } } |
下面是調用這個方法的代碼:
login("a' or 'a'='a", "a' or 'a'='a"); |
這行當前會使我們登錄成功!因為是輸入的用戶名和密碼是SQL語句片段,最終與我們的login()方法中的SQL語句組合在一起!我們來看看組合在一起的SQL語句:
SELECT * FROM tab_user WHERE username='a' or 'a'='a' and password='a' or 'a'='a' |
3 防止SQL攻擊
l 過濾用戶輸入的數據中是否包含非法字符;
l 分步交驗!先使用用戶名來查詢用戶,如果查找到了,再比較密碼;
l 使用PreparedStatement。
4 PreparedStatement是什么?
PreparedStatement叫預編譯聲明!
PreparedStatement是Statement的子接口,你可以使用PreparedStatement來替換Statement。
PreparedStatement的好處:
l 提高代碼的可讀性,以可維護性;
5 PreparedStatement的使用(可以重復使用,但需要清空參數clearParameters…)
l 使用Connection的preparedStatement(String sql):即創建它時就讓它與一條SQL模板綁定;
l 調用PreparedStatement的setXXX()系列方法為問號設置值
l 調用executeUpdate()或executeQuery()方法,但要注意,調用沒有參數的方法;
String sql = “select * from tab_student where s_number=?”; PreparedStatement pstmt = con.prepareStatement(sql); pstmt.setString(1, “S_1001”); ResultSet rs = pstmt.executeQuery(); rs.close(); pstmt.clearParameters();[崔3] pstmt.setString(1, “S_1002”); rs = pstmt.executeQuery(); |
在使用Connection創建PreparedStatement對象時需要給出一個SQL模板,所謂SQL模板就是有“?”的SQL語句,其中“?”就是參數。
在得到PreparedStatement對象后,調用它的setXXX()方法為“?”賦值,這樣就可以得到把模板變成一條完整的SQL語句,然后再調用PreparedStatement對象的executeQuery()方法獲取ResultSet對象。
注意PreparedStatement對象獨有的executeQuery()方法是沒有參數的,而Statement的executeQuery()是需要參數(SQL語句)的。因為在創建PreparedStatement對象時已經讓它與一條SQL模板綁定在一起了,所以在調用它的executeQuery()和executeUpdate()方法時就不再需要參數了。
PreparedStatement最大的好處就是在於重復使用同一模板,給予其不同的參數來重復的使用它。這才是真正提高效率的原因。
所以,建議大家在今后的開發中,無論什么情況,都去需要PreparedStatement,而不是使用Statement。
Mysql默認是關閉的,所以:url=jdbc:mysql://localhost:3306/test?useServerPrepStmts=true&cachePrepStmts=true
2、時間類型(記得用這個知識點,會查)
數據庫類型與java中類型的對應關系:
DATE à java.sql.Date
TIME à java.sql.Time
TIMESTAMP à java.sql.Timestamp
l 領域對象(domain)中的所有屬性不能出現java.sql包下的東西!即不能使用java.sql.Date;
l ResultSet#getDate()返回的是java.sql.Date()
l PreparedStatement#setDate(int, Date),其中第二個參數也是java.sql.Date
時間類型的轉換:
l java.util.Date à java.sql.Date、Time、Timestamp
- 把util的Date轉換成毫秒值
- 使用毫秒值創建sql的Date、Time、Timestamp
l java.sql.Date、Time、Timestamp à java.util.Date
- 這一步不需要處理了:因為java.sql.Date是java.util.Date;
java.util.Date date = new java.util.Date();
long l = date.getTime();
java.sql.Date sqlDate = new java.sql.Date(l);
1 Java中的時間類型
java.sql包下給出三個與數據庫相關的日期時間類型,分別是:
l Date:表示日期,只有年月日,沒有時分秒。會丟失時間;
l Time:表示時間,只有時分秒,沒有年月日。會丟失日期;
l Timestamp:表示時間戳,有年月日時分秒,以及毫秒。
這三個類都是java.util.Date的子類。
2 時間類型相互轉換
把數據庫的三種時間類型賦給java.util.Date,基本不用轉換,因為這是把子類對象給父類的引用,不需要轉換。
java.sql.Date date = …
java.util.Date d = date;
java.sql.Time time = …
java.util.Date d = time;
java.sql.Timestamp timestamp = …
java.util.Date d = timestamp;
當需要把java.util.Date轉換成數據庫的三種時間類型時,這就不能直接賦值了,這需要使用數據庫三種時間類型的構造器。java.sql包下的Date、Time、TimeStamp三個類的構造器都需要一個long類型的參數,表示毫秒值。創建這三個類型的對象,只需要有毫秒值即可。我們知道java.util.Date有getTime()方法可以獲取毫秒值,那么這個轉換也就不是什么問題了。
java.utl.Date d = new java.util.Date();
java.sql.Date date = new java.sql.Date(d.getTime());//會丟失時分秒
Time time = new Time(d.getTime());//會丟失年月日
Timestamp timestamp = new Timestamp(d.getTime());
3 代碼
我們來創建一個dt表:
CREATE TABLE dt( d DATE, t TIME, ts TIMESTAMP ) |
下面是向dt表中插入數據的代碼:
@Test public void fun1() throws SQLException { Connection con = JdbcUtils.getConnection(); String sql = "insert into dt value(?,?,?)"; PreparedStatement pstmt = con.prepareStatement(sql);
java.util.Date d = new java.util.Date(); pstmt.setDate(1, new java.sql.Date(d.getTime())); pstmt.setTime(2, new Time(d.getTime())); pstmt.setTimestamp(3, new Timestamp(d.getTime())); pstmt.executeUpdate(); } |
下面是從dt表中查詢數據的代碼:
@Test public void fun2() throws SQLException { Connection con = JdbcUtils.getConnection(); String sql = "select * from dt"; PreparedStatement pstmt = con.prepareStatement(sql); ResultSet rs = pstmt.executeQuery();
rs.next(); java.util.Date d1 = rs.getDate(1); java.util.Date d2 = rs.getTime(2); java.util.Date d3 = rs.getTimestamp(3);
System.out.println(d1); System.out.println(d2); System.out.println(d3); } |
大數據(保存MP3等)
目標:把mp3保存到數據庫中!
在my.ini中添加如下配置!
max_allowed_packet=10485760
(注意:設置完要重新啟動mysql服務)!!!!!!!!!!!!!
1 什么是大數據(blob)【pstmt.setBinaryStream(…)】
所謂大數據,就是大的字節數據,或大的字符數據。標准SQL中提供了如下類型來保存大數據類型:
類型 |
長度 |
Tinyblob(字節) |
28--1B(256B) |
blob |
216-1B(64K) |
mediumblob |
224-1B(16M) |
longblob |
232-1B(4G) |
Tinyclob(字符) |
28--1B(256B) |
clob |
216-1B(64K) |
mediumclob |
224-1B(16M) |
longclob |
232-1B(4G) |
但是,在mysql中沒有提供tinyclob、clob、mediumclob、longclob四種類型,而是使用如下四種類型來處理文本大數據:
類型 |
長度 |
tinytext |
28--1B(256B) |
text |
216-1B(64K) |
mediumtext |
224-1B(16M) |
longtext |
232-1B(4G) |
首先我們需要創建一張表,表中要有一個mediumblob(16M)類型的字段。
CREATE TABLE tab_bin( id INT PRIMARY KEY AUTO_INCREMENT, filename VARCHAR(100), data MEDIUMBLOB ); |
向數據庫插入二進制數據需要使用PreparedStatement為原setBinaryStream(int, InputSteam)方法來完成。
con = JdbcUtils.getConnection(); String sql = "insert into tab_bin(filename,data) values(?, ?)"; pstmt = con.prepareStatement(sql); pstmt.setString(1, "a.jpg"); InputStream in = new FileInputStream("f:\\a.jpg");[崔5] pstmt.setBinaryStream(2, in);[崔6] pstmt.executeUpdate(); |
讀取二進制數據,需要在查詢后使用ResultSet類的getBinaryStream()方法來獲取輸入流對象。也就是說,PreparedStatement有setXXX(),那么ResultSet就有getXXX()。
con = JdbcUtils.getConnection(); String sql = "select filename,data from tab_bin where id=?"; pstmt = con.prepareStatement(sql); pstmt.setInt(1, 1); rs = pstmt.executeQuery(); rs.next();
String filename = rs.getString("filename"); OutputStream out = new FileOutputStream("F:\\" + filename)[崔7] ;
InputStream in = rs.getBinaryStream("data")[崔8] ; IOUtils.copy(in, out)[崔9] ; out.close(); |
還有一種方法,就是把要存儲的數據包裝成Blob類型,然后調用PreparedStatement的setBlob()方法來設置數據
con = JdbcUtils.getConnection(); String sql = "insert into tab_bin(filename,data) values(?, ?)"; pstmt = con.prepareStatement(sql); pstmt.setString(1, "a.jpg"); File file = new File("f:\\a.jpg"); byte[] datas = FileUtils.getBytes(file);//獲取文件中的數據 Blob blob = new SerialBlob(datas);//創建Blob對象 pstmt.setBlob(2, blob);//設置Blob類型的參數 pstmt.executeUpdate(); |
con = JdbcUtils.getConnection(); String sql = "select filename,data from tab_bin where id=?"; pstmt = con.prepareStatement(sql); pstmt.setInt(1, 1); rs = pstmt.executeQuery(); rs.next();
String filename = rs.getString("filename"); File file = new File("F:\\" + filename) ; Blob blob = rs.getBlob("data"); byte[] datas = blob.getBytes(0, (int)file.length()); FileUtils.writeByteArrayToFile(file, datas); |
批處理(針對增刪改,沒有查)
1 Statement批處理
批處理就是一批一批的處理,而不是一個一個的處理!
當你有10條SQL語句要執行時,一次向服務器發送一條SQL語句,這么做效率上很差!處理的方案是使用批處理,即一次向服務器發送多條SQL語句,然后由服務器一次性處理。
批處理只針對更新(增、刪、改)語句,批處理沒有查詢什么事兒!
可以多次調用Statement類的addBatch(String sql)方法,把需要執行的所有SQL語句添加到一個“批”中,然后調用Statement類的executeBatch()方法來執行當前“批”中的語句。
l void addBatch(String sql):添加一條語句到“批”中;
l int[] executeBatch():執行“批”中所有語句。返回值表示每條語句所影響的行數據;
l void clearBatch():清空“批”中的所有語句。
for(int i = 0; i < 10; i++) { String number = "S_10" + i; String name = "stu" + i; int age = 20 + i; String gender = i % 2 == 0 ? "male" : "female"; String sql = "insert into stu values('" + number + "', '" + name + "', " + age + ", '" + gender + "')"; stmt .addBatch(sql); } stmt.executeBatch(); |
當執行了“批”之后,“批”中的SQL語句就會被清空!也就是說,連續兩次調用executeBatch()相當於調用一次!因為第二次調用時,“批”中已經沒有SQL語句了。
還可以在執行“批”之前,調用Statement的clearBatch()方法來清空“批”!
2 PreparedStatement批處理(給?賦值)
PreparedStatement的批處理有所不同,因為每個PreparedStatement對象都綁定一條SQL模板。所以向PreparedStatement中添加的不是SQL語句,而是給“?”賦值。
con = JdbcUtils.getConnection(); String sql = "insert into stu values(?,?,?,?)"; pstmt = con.prepareStatement(sql); for(int i = 0; i < 10; i++) { pstmt.setString(1, "S_10" + i); pstmt.setString(2, "stu" + i); pstmt.setInt(3, 20 + i); pstmt.setString(4, i % 2 == 0 ? "male" : "female"); pstmt.addBatch() ;(沒有參數) } pstmt.executeBatch (); |