基于JavaBean的数据库操作.pptVIP

第十九讲基于JavaBean的数据库操作12.3基于JavaBean的数据库操作**温故***知识回顾数据库操作方法与技巧增：用户注册、信息添加删：删除信息改：修改信息查：检索信息、用户登录作业中的问题1.未搞清用户注册的业务流程，首先明确用户注册流程1、当用户在试图访问网站的授权访问页时，首先要登录2、如果用户初次访问该网站，则无法登录，用户首先要注册为该网站的用户3、当用户注册成功，则自动设置该用户为登录状态2.注册处理过程要点把握不准首先获取用户提交的注册数据检查注册数据的合法性（合法性检查可以在前台用JavaScript脚本）检查用户名是否与已有的用户名冲突如果不冲突，将用户数据写入用户表，并标识该用户为登录用户**本讲要点***学习目标通过本讲学习，了解实际编程中的SQL语句注入攻击，理解SQL预编译语句对象的优点，掌握预编译SQL语句对象的使用方法与技巧，掌握JavaBean封装数据库操作的意义。本讲要点PreparedStatement接口为什么要使用PreparedStatementConnection对象的prepareStatement()方法PreparedStatement对象的setXXX()方法封装数据库操作JavaBean将数据操作封装在JavaBean类中的意义如何封装数据库操作如何使用封装的JavaBean类访问数据库为什么要使用PreparedStatement接口防止SQL语句注入攻击（演示）使用Statement对象容易被用户实施SQL语句注入攻击（演示）登录用户名：1or1=1—提高代码的可读性与可维护性Statement对象在构造SQL语句时繁琐，不易维护提高效率PreparedStatement对象对SQL语句进行预编译（“准备好”），大部分数据库对预编译语句提供性能优化。Stringsql;sql=insertintostudentvalues(+id+,+sname+,+sgrade+,+sbirth+,+ssex+,+saddress+,+id+);PreparedStatement接口介绍创建PreparedStatement对象通过Connection对象的prepareStatement()方法来创建，格式如下：格式说明：sql-SQL语句字符串，可具有一个或多个可替换的IN参数。可替换的IN参数用问号（“？”）作为占位符，每个问号的值在SQL语句执行之前用setXXX()方法来提供。如：返回值类型：PreparedStatement对象PreparedStatmentprepareStatement(Stringsql)Stringsql=selectfromuserswhereuname=?andupwd=?;PreparedStatementpstat=conn.prepareStatement(sql);PreparedStatement重要方法setXXX方法在执行PreparedStatement对象之前，必须设置每个占位符“?”的参数值。通过调用setXXX方法来完成，其中XXX是与该参数相对应的类型。格式（以setString方法为例）：说明：功能：给SQL语句中指定的占位符参数赋值parameterIndex－指定占位符序号x－给占位符对应的参数赋值voidsetString(intparameterIndex,Stringx)使用PreparedStatement接口操作数据库的一般步骤1、创建PreparedStatement对象，如：说明：conn是Connection对象2、传递IN参数(“?”占位符参数)值，如：3、执行SQL语句如果执行查询，调用executeQuery()方法，如：如果执行更新，调用executeUpdate()方法Stringsql=selectfromuserswhereuname=?andupwd=?;PreparedStatementpstat=conn.prepareStatement(sql);pstat.setString(1,uname);//uname已声明并赋值pstat.setString(2,upwd);//upwd已声明并赋值ResultSetrs=stat.executeQuery();//方法不能带SQL语句参数例1：修改第十七讲登录实例要求：用PreparedStatement对象替换Statement对象