基于JavaBean的数据库操作

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Java Web应用程序设计河南经贸职业学院信息管理系,第十九讲 基于JavaBean的数据库操作,12.3 基于JavaBean的数据库操作,*温故*,知识回顾,数据库操作方法与技巧,增：用户注册、信息添加,删：删除信息,改：修改信息,查：检索信息、用户登录,作业中的问题,1.未搞清用户注册的业务流程，首先明确用户注册流程,1、当用户在试图访问网站的授权访问页时，首先要登录,2、如果用户初次访问该网站，则无法登录，用户首先要注册为该网站的用户,3、当用户注册成功，则自动设置该用户为登录状态,2.注册处理过程要点把握不准,首先获取用户提交的注册数据,检查注册数据的合法性（合法性检查可以在前台用JavaScript脚本）,检查用户名是否与已有的用户名冲突,如果不冲突，将用户数据写入用户表，并标识该用户为登录用户,*本讲要点*,学习目标,通过本讲学习，了解实际编程中的SQL语句注入攻击，理解SQL预编译语句对象的优点，掌握预编译SQL语句对象的使用方法与技巧，掌握JavaBean封装数据库操作的意义。,本讲要点,PreparedStatement接口,为什么要使用PreparedStatement,Connection对象的prepareStatement()方法,PreparedStatement对象的setXXX()方法,封装数据库操作JavaBean,将数据操作封装在JavaBean类中的意义,如何封装数据库操作,如何使用封装的JavaBean类访问数据库,为什么要使用PreparedStatement接口,防止SQL语句注入攻击（演示）,使用Statement对象容易被用户实施SQL语句注入攻击,（,演示,）登录用户名：1 or 1=1,提高代码的可读性与可维护性,Statement对象在构造SQL语句时繁琐，不易维护,提高效率,PreparedStatement对象对SQL语句进行预编译（“准备好”），大部分数据库对预编译语句提供性能优化。,String sql;,sql=,insert into student values(,+id+,+sname+,+sgrade,+,+sbirth+,+ssex+,+saddress+,+id+,),;,PreparedStatement 接口介绍,创建PreparedStatement对象,通过Connection对象的prepareStatement()方法来创建，格式如下：,格式说明：,sql-SQL 语句字符串，可具有一个或多个可替换的 IN 参数。,可替换的IN参数用问号（“？”）作为占位符，每个问号的值在SQL语句执行之前用setXXX()方法来提供。如：,返回值类型：PreparedStatement对象,PreparedStatment prepareStatement(String sql),String sql=select from users where uname=?and upwd=?;,PreparedStatement pstat=conn.prepareStatement(sql);,PreparedStatement重要方法,setXXX方法,在执行 PreparedStatement 对象之前，必须设置每个占位符“?”的参数值。,通过调用setXXX方法来完成，其中XXX是与该参数相对应的类型。,格式（以setString方法为例）：,说明：,功能：给SQL语句中指定的占位符参数赋值,parameterIndex指定占位符序号,x给占位符对应的参数赋值,void setString(int parameterIndex,String x),使用PreparedStatement接口操作数据库的一般步骤,1、创建 PreparedStatement 对象，如：,说明：conn是Connection对象,2、传递 IN 参数(“?”占位符参数)值，如：,3、执行SQL语句,如果执行查询，调用executeQuery()方法，如：,如果执行更新，调用executeUpdate()方法,String sql=select from users where uname=?and upwd=?;,PreparedStatement pstat=conn.prepareStatement(sql);,pstat.setString(1,uname);/,uname已声明并赋值,pstat.setString(2,upwd);/,upwd已声明并赋值,ResultSet rs=stat.executeQuery();/,方法不能带SQL语句参数,例1：修改第十七讲登录实例,要求：,用PreparedStatement对象替换Statement对象，防止SQL语句注入攻击,相关代码替换如下,验证安全性,PreparedStatement stat=conn.prepareStatement(select*from student where id=?and pwd=?);,stat.setString(1,id);,stat.setString(2,pwd);,ResultSet rs=stat.executeQuery();,例2修改第十八讲例1,要求,用PreparedStatement对象替换Statement对象，提高程序可读性及执行效率,相关代码替换如下,效果演示,String sql=insert into student(id,sname,sgrade,sbirth,ssex,saddress,pwd)values(?,?,?,?,?,?,?);,PreparedStatement stat=conn.prepareStatement(sql);,stat.setString(1,id);,stat.setString(2,sname);,stat.setString(3,sgrade);,stat.setString(4,sbirth);,stat.setString(5,ssex);,stat.setString(6,saddress);,stat.setString(7,id);,int flag=stat.executeUpdate();,用JavaBean封装数据操作(业务Bean),创建JavaBean类，将数据库连接与操作封闭在JavaBean类中。,提高代码重用,易于维护,封装原则,什么叫封装？,定义公有方法，使用户通过调用该方法完成较复杂的功能。(,通俗,),封装查询操作，方便用户实现查询,封装更新操作，方便用户实现更新,封装连接的关闭操作，方便用户关闭连接,连接的建立对用户透明,数据库访问JavaBean代码,package bean;,import java.sql.*;,public class DataBean,private String driver;,private String url;,private String user;,private String pwd;,private Connection conn;,public DataBean(),driver=;,url=jdbc:sqlserver:/localhost:1433;databasename=student;,user=sa;,pwd=lucky;,public DataBean(String driver,String url,String user,String pwd),this.driver=driver;,this.url=url;,this.user=user;,this.pwd=pwd;,默认连接参数设置,定制连接参数,DataBean.java,private void connect()throws Exception,if(conn=null|conn.isClosed(),Class.forName(driver);,conn=DriverManager.getConnection(url,user,pwd);,public void closeConn()throws Exception,if(conn!=null&!conn.isClosed(),conn.close();,封装关闭连接操作,实现连接的方法,DataBean.java,public ResultSet query(String sql)throws Exception,ResultSet rs=null;,this.connect();,Statement stat=conn.createStatement();,rs=stat.executeQuery(sql);,return rs;,public int update(String sql)throws Exception,int flag=0;,this.connect();,Statement stat=conn.createStatement();,flag=stat.executeUpdate(sql);,return flag;,封装简单查询与更新操作,DataBean.java,public PreparedStatement prepareStatement(String sql)throws Exception,this.connect();,PreparedStatement pstat=null;,pstat=conn.prepareStatement(sql);,return pstat;,public ResultSet preparedQuery(PreparedStatement pstat)throws Exception,ResultSet rs=null;,rs=pstat.executeQuery();,return rs;,public int preparedUpdate(PreparedStatement pstat)throws Exception,int flag=0;,flag=pstat.executeUpdate();,return flag;,封装预定义查询与更新,使用封装的JavaBean类访问数据库,关键步骤,1、创建JavaBean对象,2、调用query()、update()等方法操作数据库,3、调用closeConn()方法关闭连接,例3：使用封装的JavaBean类访问数据库,要求,改写第十七讲中的登录应用程序，使用JavaBean对象来操作数据库,loginapp.jsp修改前代码,例3：loginapp.jsp修改后代码,loginapp.jsp相关代码修改后,小结,PreparedStatement接口,使用PreparedStatement操作数据库安全？,PreparedStatement对象的创建方法？,PreparedStatement操作数据库的过程？,封装数据库操作JavaBean,将数据操作封装在JavaBean类中的意义是什么？,如何封装数据库操作？,作业,重新编写用户注册程序与用户登录，要求用JavaBean数据库访问类实现数据库的访问。具体要求如下：,编写授权访问页view.jsp，实现登录用户的个人信息显示,编写登录页面log.jsp提供登录表单,编写登录处理页logapp.jsp，实现用户登录功能,编写用户注册页面reg.jsp提供注册表单,编写用户注册数据处理页面regapp.jsp，实现用户注册功能,实训十九 JavaBean操作数据库应用,实训目的,使学生掌握使用PreparedStatement接口的使用方法，掌握预编译SQL语句对象的使用技巧，掌握数据库操作的封装及使用技巧，并能举一反三。,实训内容,1、按课件给出的关键步骤调试例1，掌握PreparedStatement接口的使用方法。,