###使用单元测试,测试代码
-
定义一个类, TestXXX , 里面定义方法 testXXX.
-
添加junit的支持。
右键工程 --- add Library --- Junit --- Junit4
-
在方法的上面加上注解 , 其实就是一个标记。
@Test public void testQuery() { ... }
-
光标选中方法名字,然后右键执行单元测试。 或者是打开outline视图, 然后选择方法右键执行。
###Dao模式
Data Access Object 数据访问对象
- 新建一个dao的接口, 里面声明数据库访问规则
/**
* 定义操作数据库的方法
*/
public interface UserDao {
/**
* 查询所有
*/
void findAll();
}
- 新建一个dao的实现类,具体实现早前定义的规则
public class UserDaoImpl implements UserDao{
@Override
public void findAll() {
Connection conn = null;
Statement st = null;
ResultSet rs = null;
try {
//1. 获取连接对象
conn = JDBCUtil.getConn();
//2. 创建statement对象
st = conn.createStatement();
String sql = "select * from t_user";
rs = st.executeQuery(sql);
while(rs.next()){
String userName = rs.getString("username");
String password = rs.getString("password");
System.out.println(userName+"="+password);
}
} catch (Exception e) {
e.printStackTrace();
}finally {
JDBCUtil.release(conn, st, rs);
}
}
}
-
直接使用实现
@Test public void testFindAll(){ UserDao dao = new UserDaoImpl(); dao.findAll(); }
##Statement安全问题
- Statement执行 ,其实是拼接sql语句的。 先拼接sql语句,然后在一起执行。
String sql = "select * from t_user where username='"+ username +"' and password='"+ password +"'";
UserDao dao = new UserDaoImpl();
dao.login("admin", "100234khsdf88' or '1=1");
SELECT * FROM t_user WHERE username='admin' AND PASSWORD='100234khsdf88' or '1=1'
前面先拼接sql语句, 如果变量里面带有了 数据库的关键字,那么一并认为是关键字。 不认为是普通的字符串。
rs = st.executeQuery(sql);
PrepareStatement
该对象就是替换前面的statement对象。
- 相比较以前的statement, 预先处理给定的sql语句,对其执行语法检查。 在sql语句里面使用 ? 占位符来替代后续要传递进来的变量。 后面进来的变量值,将会被看成是字符串,不会产生任何的关键字。
String sql = "insert into t_user values(null , ? , ?)";
ps = conn.prepareStatement(sql);
//给占位符赋值 从左到右数过来,1 代表第一个问号, 永远你是1开始。
ps.setString(1, userName);
ps.setString(2, password);