JDBC编程II

JDBC编程实现CRUD(增删改查)IIPreparedStatement对象使用可滚动结果集JDBC事务PreperedStatement是Statement的子类，相对Statement对象：▪PreperedStatement对于sql中的参数使用占位符的形式进行替换，简化sql语句的编写▪PreparedStatement可对SQL进行预编译，提高数据库的执行效率▪PreperedStatement可以避免SQL注入的问题PreparedStatement语句发送SQL语句实现CRUD示例：dbtest2应用/src/db包下的DBTest1——DBTest4.java▪数据库文件：database文件夹内该示例学习：与JDBC编程IPPT示例中Statement语句发送SQL语句的写法区别进行对比PreparedStatementpstm=null;Stringsql=“insertintobook(bookid,name,price)values(?,?,?);pstm=conn.prepareStatement(sql);pstm.setString(1,”004”);pstm.setString(2,”web”);pstm.setFloat(3,30);pstm.executeUpdate();PreparedStatementpstm=null;Stringsql=“insertintobook(bookid,name,price)values(?,?,?);pstm=conn.prepareStatement(sql);pstm.setString(1,”004”);pstm.setString(2,”web”);pstm.setFloat(3,30);pstm.executeUpdate();将SQL语句中出现的第1个占位符（“？”）赋值为字符串“004”将SQL语句中出现的第2个占位符（“？”）赋值为字符串“web”将SQL语句中出现的第3个占位符（“？”）赋值为浮点型数字30最终发送的SQL语句即为：insertintobook(bookid,name,price)values(‘004’,’web’,30)PreparedStatement对SQL语句中占位符（“？”）进行赋值语句的说明▪可以采用与数据库字段类型相对应的赋值语句▪简化处理，也可以都采用字符串类型进行赋值PreparedStatementpstm=null;Stringsql=“insertintobook(bookid,name,price)values(?,?,?);pstm=conn.prepareStatement(sql);pstm.setString(1,”004”);pstm.setString(2,”web”);pstm.setFloat(3,30);pstm.executeUpdate();对SQL语句第3个占位符（即“price”字段）赋值，该字段在数据库设计时为float类型，此处采用setFloat方法进行赋值，赋值为浮点型数字30也可以赋值为字符串类型即采用：pstm.setString(3,”30”)PreparedStatementpstm=null;Stringsql=“updatebooksetprice=?wherebookid=?;pstm=conn.prepareStatement(sql);pstm.setFloat(1,100);pstm.setString(2,”001”);pstm.executeUpdate();PreparedStatementpstm=null;Stringsql=“deletefrombookwherebookid=?;pstm=conn.prepareStatement(sql);pstm.setFloat(1,”004”);pstm.executeUpdate();PreparedStatementpstm=null;Stringsql=“select*frombookwherebookname=?;pstm=conn.prepareStatement(sql);pstm.setString(1,”web”);pstm.executeQuery();所谓SQL注入，就是通过把SQL语句插入到Web表单递交或页面请求的查询字符串中，最终达到欺骗服务器执行恶意的SQL命令容易产生SQL注入的示例▪示例Web项目SQLInjection▪所用数据库文件：database文件夹中▪访问：▪loginProc.jsp程序处理逻辑：判断登录用户名和密码是否正确，即在数据库yh表中是否有对应记录，有则允许登录，否则拒绝程序采用Statement语句发送SQL语句此例中，在文本框中输入'or1=1or1='即可构造一个使得登录判断失效的SQL语句防止产生SQL注入的示例▪示例Web项目SQLInjection▪所用数据库文件：database文件夹中▪访问：▪loginProc2.jsp程序处理逻辑：判断登录用户名和密码是否正确，即在数据库yh表中是否有对应记录，有则允许登录，否则拒绝程序采用PreparedStatement语句发送SQL语句两种方式发送SQL语句的形式都要求掌握，都能实现CRUD编程实际JDBC开发中，PreparedStatement用得更多，特别是：▪执行更新SQL语句(增加，修改和删除等)//创建增强语句对象Statementstm=conn.createStatement(ResultSet.TYPE_SCROLL_INSENSITIVE,ResultSet.CONCUR_READ_ONLY);rs=stm.executeQuery(select*frombook);//通过增强语句对象执行查询SQL获得的结果集可以滚动定位，以下将游标定位到第2条记录处rs.absolute(2);//执行next后从第3条记录开始读取while(rs.next()){System.out.print(rs.getString(“bookid));}可滚动结果集示例：dbtest2应用/src/db2包下的DBTest1.java常用于对结果集进行分页显示▪自学如何分页显示结果集事务：一个事务是作用于一个数据库的一个或多个数据表的一组动作，这组动作要么全部执行，要么全部不执行，如果其中一个动作失败，则所有动作恢复到动作执行前状态例如：银行系统的账户资金转移Connection对象默认自动提交事务Connection对象setAutoCommit(false)方法设置为不自动提交事务，这种情况下，需要显式调用Connection对象的commit方法，才真正提交事务执行SQL语句Connection对象rollback方法回滚事务示例：1001账户转移资金500至1002账户帐户号帐户存款1001100010021000Connection事务提交模式示例：dbtest2应用/src/db3包下重点掌握：Statement/PreparedStatement对象操纵SQL语句实现数据库CRUD编程的不同写法进一步掌握可滚动结果集的用法了解JDBC事务处理