詳解PreparedStatement

詳解PreparedStatement

 /**
     * PrepareStatement 測試插入數據庫
     */
    /**
     * 若是使用Statement，那麼就必須在SQL語句中，實際地去嵌入值，好比以前的insert語句
     *
     * 可是這種方式有一個弊端，第一，是容易發生SQL注入，SQL注入，簡單來講，就是，你的網頁的用戶
     * 在使用，好比論壇的留言板，電商網站的評論頁面，提交內容的時候，可使用'1 or 1'，諸如此類的
     * 非法的字符，而後你的後臺，若是在插入評論數據到表中的時候，若是使用Statement，就會原封不動的
     * 將用戶填寫的內容拼接在SQL中，此時可能會發生對數據庫的意外的損壞，甚至數據泄露，這種狀況就叫作
     * SQL注入
     *
     * 第二種弊端，就是性能的低下，好比insert into test_user(name,age) values('張三',25)
     * insert into test_user(name,age) values('李四',26)
     * 其實兩條SQL語句的結構大同小異，可是若是使用這種方式，在MySQL中執行SQL語句的時候，卻須要對
     * 每一條SQL語句都實現編譯，編譯的耗時在整個SQL語句的執行耗時中佔據了大部分的比例
     * 因此，Statement會致使執行大量相似SQL語句的時候的，性能低下
     *
     * 若是使用PreparedStatement，那麼就能夠解決上述的兩個問題
     * 一、SQL注入，使用PreparedStatement時，是能夠在SQL語句中，對值所在的位置使用?這種佔位符的
     * 使用佔位符以後，實際的值，能夠經過另一份放在數組中的參數來表明。此時PreparedStatement會對
     * 值作特殊的處理，每每特殊處理後，就會致使不法分子的惡意注入的SQL代碼失效
     * 二、提高性能，使用PreparedStatement以後，其實結構相似的SQL語句，都變成同樣的了，由於值的地方
     * 都會變成?，那麼一條SQL語句，在MySQL中只會編譯一次，後面的SQL語句過來，就直接拿編譯後的執行計劃
     * 加上不一樣的參數直接執行，能夠大大提高性能
     */
    private static void preparedStatement() {
        // 總結一下JDBC的最基本的使用過程
        // 一、加載驅動類：Class.forName()
        // 二、獲取數據庫鏈接：DriverManager.getConnection()
        // 三、建立SQL語句執行句柄：Connection.createStatement()
        // 四、執行SQL語句：Statement.executeUpdate()
        // 五、釋放數據庫鏈接資源：finally，Connection.close()

        // 定義數據庫鏈接對象
        // 引用JDBC相關的全部接口或者是抽象類的時候，必須是引用java.sql包下的
        // java.sql包下的，才表明了java提供的JDBC接口，只是一套規範
        // 至於具體的實現，則由數據庫驅動來提供，切記不要引用諸如com.mysql.jdbc包的類
        Connection conn=null;
        //定義SQL語句執行句柄:PrepareStatement對象
        //PreparedStatement對象,其實就是底層會基於Connection數據庫鏈接
        //可讓咱們方便的針對數據庫中的表,執行增刪改查的SQL語句
        //好比和insert update delete和select語句
        PreparedStatement ps=null;
        try {
            // 第一步，加載數據庫的驅動，咱們都是面向java.sql包下的接口在編程，因此
            // 要想讓JDBC代碼可以真正操做數據庫，那麼就必須第一步先加載進來你要操做的數據庫的驅動類
            // 使用Class.forName()方式來加載數據庫的驅動類
            // Class.forName()是Java提供的一種基於反射的方式，直接根據類的全限定名（包+類）
            // 從類所在的磁盤文件（.class文件）中加載類對應的內容，並建立對應的Class對象
            Class.forName("com.mysql.jdbc.Driver");
            // 獲取數據庫的鏈接
            // 使用DriverManager.getConnection()方法獲取針對數據庫的鏈接
            // 須要給方法傳入三個參數，包括url、user、password
            // 其中url就是有特定格式的數據庫鏈接串，包括「主協議:子協議://主機名:端口號//數據庫」
            conn = DriverManager.getConnection(
                    "jdbc:mysql://localhost:3306/spark_project?characterEncoding=utf8",
                    "root",
                    "root"
            );
            // 基於數據庫鏈接Connection對象，建立SQL語句執行句柄，Statement對象
            // prepareStatement對象，就是用來基於底層的Connection表明的數據庫鏈接
            // 容許咱們經過java程序，經過prepareStatement對象，向MySQL數據庫發送SQL語句
            // 從而實現經過發送的SQL語句來執行增刪改查等邏輯
            // 第一個，SQL語句中，值所在的地方，都用問好表明
            String sql = "insert into user(name,age) values(?,?)";
            ps = conn.prepareStatement(sql);
            // 第二個，必須調用PreparedStatement的setX()系列方法，對指定的佔位符設置實際的值
            ps.setString(1,"李四");
            ps.setInt(2,26);
            // Statement.executeUpdate()方法，就能夠用來執行insert、update、delete語句
            // 返回類型是個int值，也就是SQL語句影響的行數
            // 第三個，執行SQL語句時，直接使用executeUpdate()便可，不用傳入任何參數
            int rtn = ps.executeUpdate();

            System.out.println("SQL語句影響了【" + rtn + "】行。");
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            try {
                // 最後必定要記得在finally代碼塊中，儘快在執行完SQL語句以後，就釋放數據庫鏈接
                if (ps != null){
                    ps.close();
                }
                if (conn !=null){
                    conn.close();
                }
            }catch (Exception e){
                e.printStackTrace();
            }
        }
    }