19第十九讲基于JavaBean的数据库操作.ppt

1、第十九讲 基于JavaBean的数据库操作,12.3 基于JavaBean的数据库操作,*温故*,知识回顾 数据库操作方法与技巧 增：用户注册、信息添加 删：删除信息 改：修改信息 查：检索信息、用户登录 作业中的问题 1.未搞清用户注册的业务流程，首先明确用户注册流程 1、当用户在试图访问网站的授权访问页时，首先要登录 2、如果用户初次访问该网站，则无法登录，用户首先要注册为该网站的用户 3、当用户注册成功，则自动设置该用户为登录状态 2.注册处理过程要点把握不准 首先获取用户提交的注册数据 检查注册数据的合法性（合法性检查可以在前台用JavaScript脚本） 检查用户名是否与已有的用户名

2、冲突 如果不冲突，将用户数据写入用户表，并标识该用户为登录用户,*本讲要点*,学习目标 通过本讲学习，了解实际编程中的SQL语句注入攻击，理解SQL预编译语句对象的优点，掌握预编译SQL语句对象的使用方法与技巧，掌握JavaBean封装数据库操作的意义。 本讲要点 PreparedStatement接口 为什么要使用PreparedStatement Connection对象的prepareStatement()方法 PreparedStatement对象的setXXX()方法 封装数据库操作JavaBean 将数据操作封装在JavaBean类中的意义 如何封装数据库操作 如何使用封装的Jav

3、aBean类访问数据库,为什么要使用PreparedStatement接口,防止SQL语句注入攻击（演示） 使用Statement对象容易被用户实施SQL语句注入攻击 （演示）登录用户名：1 or 1=1 提高代码的可读性与可维护性 Statement对象在构造SQL语句时繁琐，不易维护 提高效率 PreparedStatement对象对SQL语句进行预编译（“准备好”），大部分数据库对预编译语句提供性能优化。,String sql; sql=insert into student values(+id+,+sname+,+sgrade +,+sbirth+,+ssex+,+saddress+

4、,+id+);,PreparedStatement 接口介绍,创建PreparedStatement对象 通过Connection对象的prepareStatement()方法来创建，格式如下： 格式说明： sql- SQL 语句字符串，可具有一个或多个可替换的 IN 参数。 可替换的IN参数用问号（“？”）作为占位符，每个问号的值在SQL语句执行之前用setXXX()方法来提供。如： 返回值类型：PreparedStatement对象,PreparedStatment prepareStatement(String sql),String sql=select from users wher

5、e uname=? and upwd=?; PreparedStatement pstat=conn.prepareStatement(sql);,PreparedStatement重要方法,setXXX方法 在执行 PreparedStatement 对象之前，必须设置每个占位符“? ”的参数值。 通过调用setXXX方法来完成，其中XXX是与该参数相对应的类型。 格式（以setString方法为例）： 说明： 功能：给SQL语句中指定的占位符参数赋值 parameterIndex指定占位符序号 x给占位符对应的参数赋值,void setString(int parameterIndex,S

6、tring x),使用PreparedStatement接口操作数据库的一般步骤,1、创建 PreparedStatement 对象，如： 说明：conn是Connection对象 2、传递 IN 参数(“?”占位符参数)值，如： 3、执行SQL语句 如果执行查询，调用executeQuery()方法，如： 如果执行更新，调用executeUpdate()方法,String sql=select from users where uname=? and upwd=?; PreparedStatement pstat=conn.prepareStatement(sql);,pstat.setSt

7、ring(1,uname);/uname已声明并赋值 pstat.setString(2,upwd);/upwd已声明并赋值,ResultSet rs=stat.executeQuery();/方法不能带SQL语句参数,例1：修改第十七讲登录实例,要求： 用PreparedStatement对象替换Statement对象，防止SQL语句注入攻击 相关代码替换如下 验证安全性,PreparedStatement stat=conn.prepareStatement(select * from student where id=? and pwd=?); stat.setString(1,id);

8、 stat.setString(2,pwd); ResultSet rs=stat.executeQuery();,例2修改第十八讲例1,要求 用PreparedStatement对象替换Statement对象，提高程序可读性及执行效率 相关代码替换如下 效果演示,String sql=insert into student(id,sname,sgrade,sbirth,ssex,saddress,pwd) values(?,?,?,?,?,?,?); PreparedStatement stat=conn.prepareStatement(sql); stat.setString(1,id)

9、; stat.setString(2,sname); stat.setString(3,sgrade); stat.setString(4,sbirth); stat.setString(5,ssex); stat.setString(6,saddress); stat.setString(7,id); int flag=stat.executeUpdate();,用JavaBean封装数据操作(业务Bean),创建JavaBean类，将数据库连接与操作封闭在JavaBean类中。 提高代码重用 易于维护 封装原则 什么叫封装？ 定义公有方法，使用户通过调用该方法完成较复杂的功能。(通俗) 封

10、装查询操作，方便用户实现查询 封装更新操作，方便用户实现更新 封装连接的关闭操作，方便用户关闭连接 连接的建立对用户透明,数据库访问JavaBean代码,package bean; import java.sql.*; public class DataBean private String driver; private String url; private String user; private String pwd; private Connection conn; public DataBean() driver=com.microsoft.sqlserver.jdbc.SQLSe

11、rverDriver; url=jdbc:sqlserver:/localhost:1433;databasename=student; user=sa; pwd=lucky; public DataBean(String driver,String url,String user,String pwd) this.driver=driver; this.url=url; this.user=user; this.pwd=pwd; ,默认连接参数设置,定制连接参数,DataBean.java,private void connect() throws Exception if(conn=nul

12、l|conn.isClosed() Class.forName(driver); conn=DriverManager.getConnection(url,user,pwd); public void closeConn() throws Exception if(conn!=null ,封装关闭连接操作,实现连接的方法,DataBean.java,public ResultSet query(String sql) throws Exception ResultSet rs=null; this.connect(); Statement stat=conn.createStatement()

13、; rs=stat.executeQuery(sql); return rs; public int update(String sql) throws Exception int flag=0; this.connect(); Statement stat=conn.createStatement(); flag=stat.executeUpdate(sql); return flag; ,封装简单查询与更新操作,DataBean.java,public PreparedStatement prepareStatement(String sql) throws Exception this.

14、connect(); PreparedStatement pstat=null; pstat=conn.prepareStatement(sql); return pstat; public ResultSet preparedQuery(PreparedStatement pstat) throws Exception ResultSet rs=null; rs=pstat.executeQuery(); return rs; public int preparedUpdate(PreparedStatement pstat) throws Exception int flag=0; fla

15、g=pstat.executeUpdate(); return flag; ,封装预定义查询与更新,使用封装的JavaBean类访问数据库,关键步骤 1、创建JavaBean对象 2、调用query() 、update()等方法操作数据库 3、调用closeConn()方法关闭连接,例3：使用封装的JavaBean类访问数据库,要求 改写第十七讲中的登录应用程序，使用JavaBean对象来操作数据库,loginapp.jsp修改前代码,例3：loginapp.jsp修改后代码,loginapp.jsp相关代码修改后,小结,PreparedStatement接口 使用PreparedStatement操作数据库安全？ PreparedStatement对象的创建方法？ PreparedStatement操作数据库的过程？ 封装数据库操作JavaBean 将数据操作封装在JavaBean类中的意义是什么？ 如何封装数据库操作？,作业,重新编写用户注册程序与用户登录，要求用JavaBean数据库访问类实现数据库的访问。具体要求如下： 编写授权访问页view.jsp，实现登录用户的个人信息显示 编写登录页面log.jsp提供登录表单 编写登录处理页logapp.jsp，实现用户登录功能 编写用户注册页面reg