`
KG1898
  • 浏览: 29363 次
  • 性别: Icon_minigender_1
  • 来自: 北京
文章分类
社区版块
存档分类
最新评论

Java数据库操作小结(Oracle)

阅读更多

Statement 和 PreparedStatement之间的区别

1.在对数据库只执行一次性存取的时侯,用Statement对象进行处理。

2.PreparedStatement是预编译的,对于批量处理可以大大提高效率,也叫JDBC存储过程。

3.在执行SQL命令时,我们有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。无论多少次地使用同一个SQL命令,PreparedStatement都只对它解析和编译一次。当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译。

使用 PreparedStatement 代替 Statement

在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement。也就是说,在任何时候都不要使用Statement

1.代码的可读性和可维护性。
虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说。都比直接用Statement的代码高很多档次。

 

    PreparedStatement

Connection conn = null;
PreparedStatement pstmt = null;
conn = DriverManager.getConnection(JDBCURL, DBUSER, DBPASSWORD);
String sql = "update Person set age= ?,tel= ?,summary = ? where id = ?";
pstmt = conn.prepareStatement(sql);
pstmt.setString(1,age);
pstmt.setString(2,tel);
pstmt.setString(3,summary);
pstmt.setString(4,pId);
pstmt.executeUpdate();

    Statement

Connection conn = null;
Statement stmt = null;
conn = DriverManager.getConnection(JDBCURL, DBUSER, DBPASSWORD);
String sql = "update Person set age = '"+age+"',tel = '"+tel+"',summary = '"+summary+"' where id = '"+summary+"'";
stmt = conn.prepareStatement(sql);
stmt.executeUpdate();

 

2.PreparedStatement尽最大可能提高性能。

3.最重要的一点是极大地提高了安全性。

即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道。

String sql = "select * from tb_user where name = '"+varname+"' and passwd ='"+varpasswd+"'";

 
@1.如果我们把[' or '1' = '1]作为varpasswd传入进来,用户名随意,看看会成为什么?

select * from tb_user = '随意' and passwd = '' or '1' = '1';

 
因为'1'='1'肯定成立,所以可以任何通过验证;

 

@2.如果传入的变量中含有 ' 字符,则执行sql语句将会出错;

 

@3.更有甚者,把[';drop table tb_name;]作为varpasswd传入进来,则:

 

select * from tb_user = '随意' and passwd = '';drop table tb_user;

 

有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行。

 

----------------------------------------------------------------------------------------------------

 

以下是java使用PreparedStatement进行数据库连接和操作的代码

 

package com.miracle.test;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

public class DBConnectionTest {
	public static void main(String[] args) {
		Connection conn = null;
		PreparedStatement pstmt = null;
		//String driver = "com.cownew.JDBMonitor.jdbc.DBDriver";
		String driver = "oracle.jdbc.driver.OracleDriver";
		//String url = "listener=jdbc:oracle:thin:@127.0.0.1:1521:orcl";
		String url = "jdbc:oracle:thin:@127.0.0.1:1521:orcl";
		String user = "admin";
		String password = "1";
		String sql = "select * from sysuser where account= ? and password= ?s";
		
		try {
			Class.forName(driver);
		} catch (ClassNotFoundException e) {
			System.out.println("加载驱动类时出现异常!");
			e.printStackTrace();
		}
		try {
			conn = DriverManager.getConnection(url, user, password);
			pstmt = conn.prepareStatement(sql);
			pstmt.setString(1, "root");
			pstmt.setString(2, "123");
			ResultSet rs = pstmt.executeQuery();
			while(rs.next()) {
				String name = rs.getString(8);
				System.out.println(name);
			}
			pstmt.close();
		} catch (SQLException e) {
			System.out.println("出现SQLException异常");
			e.printStackTrace();
		} finally {
			try {
				if(conn!=null)
					conn.close();
			} catch (SQLException e) {
				System.out.println("关闭数据库连接时出现异常");
				e.printStackTrace();
			}
		}
	}
}
 

 

分享到:
评论

相关推荐

    JAVA数据库基本操作,增删改查

    ### JAVA数据库基本操作:增删改查 在Java开发中,与数据库进行交互是一项非常重要的技能。无论是构建简单的Web应用还是复杂的企业级系统,开发者都需要掌握如何通过Java代码执行SQL命令来实现数据的增删改查操作。...

    Java企业数据库Oracle应用研讨.docx

    #### 小结 通过本课程的学习,学员不仅能掌握Oracle数据库的基本操作和管理技能,还能深入了解其高级特性,为将来从事相关领域的工作打下坚实的基础。Oracle数据库因其强大的功能和广泛的应用场景,在IT行业中占据...

    JDBC与Java数据库编程

    **1.8 小结** - JDBC体系结构包括JDBC驱动程序管理器接口和JDBCAPI。 - JDBCAPI包括`DriverManager`, `Connection`, `Statement`, `ResultSet`, `SQLException`等核心组件。 #### 第二章:JDBC基础应用 **2.1 ...

    Spring boot连接oracle数据库JDBC配置步骤

    小结 通过以上步骤,我们成功地使用 Spring Boot 连接了 Oracle 数据库,并实现了基本的数据库操作。记住,在配置 `application.properties` 文件时,需要根据自己的数据库实例和账户信息进行修改。

    java连接oracle.txt

    通过上述步骤,我们可以成功地使用 Java 连接到 Oracle 数据库,并执行简单的 SQL 查询操作。需要注意的是,在生产环境中,还需要考虑异常处理、日志记录等细节问题,以确保程序的稳定性和安全性。此外,为了提高...

    安装oracle数据库的环境变量设置

    #### 五、小结 正确设置Oracle数据库的环境变量对于确保其正常运行至关重要。通过上述介绍,我们可以看到每个环境变量都有其特定的功能和用途。希望本文能够帮助您更好地理解和掌握Oracle数据库的环境变量设置。

    如何连接Oracle数据库及故障解决办法

    #### 小结 本文详细介绍了Oracle数据库的连接过程,从客户端安装到配置文件的设置,再到故障排查与解决方法,旨在帮助用户顺畅地建立与Oracle数据库的连接。在实际操作过程中,务必仔细核对每一步的配置细节,确保...

    JAVA调用ORACLE存储过程小结[文].pdf

    Java调用Oracle存储过程是数据库操作中的常见任务,特别是在企业级应用开发中。本文将对这一主题进行深入探讨,以帮助开发者理解如何有效地在Java中调用Oracle存储过程。 首先,我们来看一个无返回值的存储过程的...

    java调用存储过程小结.pdf

    文档《java调用存储过程小结.pdf》涉及了如何使用Java语言通过JDBC(Java Database Connectivity)API来调用Oracle数据库中的存储过程。这个过程中,重点在于理解Java与数据库交互的基本原理以及如何通过编程方式...

    java 连接数据库

    Java 连接数据库是指使用 Java 语言连接到各种数据库管理系统(DBMS),例如 DB2、Oracle、MySQL 等,以便对数据库进行操作,如执行 SQL 语句、查询数据、插入数据、更新数据等。本文将详细介绍 Java 连接数据库的...

    java连接数据库大全

    #### 四、小结 本文介绍了如何使用Java连接Oracle、SQL Server和DB2等主流数据库的方法,并提供了具体的示例代码。通过这些示例,开发者可以快速掌握如何使用JDBC API与不同的数据库进行交互。需要注意的是,在实际...

    Oralec,mysql数据库基础知识小结

    - **JDBC**: Java数据库连接,用于Java应用程序访问Oracle数据库。 - **PL/SQL**: Procedural Language/Structured Query Language的缩写,是Oracle数据库的内置编程语言,用于编写存储过程和函数。 ### Oracle PL/...

    Oracle9i 数据库管理基础

    - **小结**:总结了本章介绍的工具及其用途。 #### 六、管理Oracle实例 - **目标**:讲解如何管理Oracle9i数据库实例,包括配置初始化参数、启动和关闭实例等。 - **初始化参数文件**:初始化参数文件包含了配置...

    Oracle 从入门到精通视频教程(11G版本)(ppt)

    《Oracle 从入门到精通》中的视频教程和PPT资料。 Oracle 11G从入门到精通视频的PPT 第1章-Oracle 11g数据库简介 ...第22章-在Java中连接Oracle JDBC与ODBC简介 Thin方式连接Oracle JDBC-ODBC桥连接Oracle

    oracle10G数据库管理技术手册1.pdf

    - **应用场景**:通过模拟一个典型的人力资源部门的应用场景,帮助学员理解Oracle 10g数据库的各种操作和管理技巧。 **1.6 小结** - **总结**:这部分对前面介绍的核心概念进行了简要回顾,强调了学习Oracle 10g...

    mapxtreme for java manager 测试oracle spatial 连接简单图解

    #### 四、小结 通过上述步骤,我们可以有效地测试MapXtreme for Java Manager与Oracle Spatial之间的连接。这不仅有助于确保GIS应用程序的数据层正常工作,还可以为后续的应用开发提供坚实的基础。如果在测试过程中...

Global site tag (gtag.js) - Google Analytics