19第十九基于JavaBean的数据库操作.pptVIP

第十九讲 基于JavaBean的数据库操作 12.3 基于JavaBean的数据库操作 ***温故*** 知识回顾 数据库操作方法与技巧 增：用户注册、信息添加 删：删除信息 改：修改信息 查：检索信息、用户登录 作业中的问题 1.未搞清用户注册的业务流程，首先明确用户注册流程 1、当用户在试图访问网站的授权访问页时，首先要登录 2、如果用户初次访问该网站，则无法登录，用户首先要注册为该网站的用户 3、当用户注册成功，则自动设置该用户为登录状态 2.注册处理过程要点把握不准 首先获取用户提交的注册数据 检查注册数据的合法性（合法性检查可以在前台用JavaScript脚本） 检查用户名是否与已有的用户名冲突 如果不冲突，将用户数据写入用户表，并标识该用户为登录用户 ***本讲要点*** 学习目标 通过本讲学习，了解实际编程中的SQL语句注入攻击，理解SQL预编译语句对象的优点，掌握预编译SQL语句对象的使用方法与技巧，掌握JavaBean封装数据库操作的意义。 本讲要点 PreparedStatement接口 为什么要使用PreparedStatement Connection对象的prepareStatement()方法 PreparedStatement对象的setXXX()方法 封装数据库操作JavaBean 将数据操作封装在JavaBean类中的意义 如何封装数据库操作 如何使用封装的JavaBean类访问数据库 为什么要使用PreparedStatement接口 防止SQL语句注入攻击（演示） 使用Statement对象容易被用户实施SQL语句注入攻击 （演示）登录用户名：1 or 1=1— 提高代码的可读性与可维护性 Statement对象在构造SQL语句时繁琐，不易维护 提高效率 PreparedStatement对象对SQL语句进行预编译（“准备好”），大部分数据库对预编译语句提供性能优化。 PreparedStatement 接口介绍 创建PreparedStatement对象 通过Connection对象的prepareStatement()方法来创建，格式如下： 格式说明： sql- SQL 语句字符串，可具有一个或多个可替换的 IN 参数。 可替换的IN参数用问号（“？”）作为占位符，每个问号的值在SQL语句执行之前用setXXX()方法来提供。如： 返回值类型：PreparedStatement对象 PreparedStatement重要方法 setXXX方法 在执行 PreparedStatement 对象之前，必须设置每个占位符“? ”的参数值。 通过调用setXXX方法来完成，其中XXX是与该参数相对应的类型。 格式（以setString方法为例）： 说明： 功能：给SQL语句中指定的占位符参数赋值 parameterIndex－指定占位符序号 x－给占位符对应的参数赋值 使用PreparedStatement接口操作数据库的一般步骤 1、创建 PreparedStatement 对象，如： 说明：conn是Connection对象 2、传递 IN 参数(“?”占位符参数)值，如： 3、执行SQL语句 如果执行查询，调用executeQuery()方法，如： 如果执行更新，调用executeUpdate()方法 例1：修改第十七讲登录实例 要求： 用PreparedStatement对象替换Statement对象，防止SQL语句注入攻击 相关代码替换如下 验证安全性 例2－修改第十八讲例1 要求 用PreparedStatement对象替换Statement对象，提高程序可读性及执行效率 相关代码替换如下 效果演示 用JavaBean封装数据操作(业务Bean) 创建JavaBean类，将数据库连接与操作封闭在JavaBean类中。 提高代码重用 易于维护 封装原则 什么叫封装？ 定义公有方法，使用户通过调用该方法完成较复杂的功能。(通俗) 封装查询操作，方便用户实现查询 封装更新操作，方便用户实现更新 封装连接的关闭操作，方便用户关闭连接 连接的建立对用户透明 数据库访问JavaBean代码 DataBean.java DataBean.java DataBean.java 使用封装的JavaBean类访问数据库 关键步骤 1、创建JavaBean对象 jsp:useBean id=da class=bean.DataBean scope=page %bean.DataBean da=new bean.DataBean();% 2、调用query() 、update()等方法操作数据库 3、调用closeConn(