PreparedStatement

一、它是Statement接口的子接口；

二、好处：

• 防SQL攻击；
• 提高代码的可读性、可维护性；
• 提高效率！

//SQL攻击：
//login()方法中有如下语句：
String sql = "SELECT * FROM user WHERE " +"username='" + username + "' and password='" + password + "'";

//调用login方法
login("a' or 'a'='a", "a' or 'a'='a");

//组合起来的sql语句为：
SELECT * FROM tab_user WHERE username='a' or 'a'='a' and password='a' or 'a'='a'         //总返回true

 

三、PreparedStatement的用法：

1、给出SQL模板！

2、调用Connection的PreparedStatement prepareStatement(String sql模板)；

3、调用pstmt的setXxx()系列方法sql模板中的?赋值！

4、调用pstmt的executeUpdate()或executeQuery()，但它的方法都没有参数。

/*
         * 一、得到PreparedStatement
         * 1. 给出sql模板：所有的参数使用?来替代
         * 2. 调用Connection方法，得到PreparedStatement
         */
        String sql = "select * from t_user where username=? and password=?";
        PreparedStatement pstmt = con.prepareStatement(sql);
        
        /*
         * 二、为参数赋值
         */
        pstmt.setString(1, username);//给第1个问号赋值，值为username
        pstmt.setString(2, password);//给第2个问号赋值，值为password
        
        ResultSet rs = pstmt.executeQuery();//调用查询方法，向数据库发送查询语句
        
        pstmt.setString(1, "liSi");
        pstmt.setString(2, "123");
        
        pstmt.executeQuery();

 

预处理的原理

• 服务器的工作：

1、校验sql语句的语法！

2、编译：一个与函数相似的东西！

3、执行：调用函数

• PreparedStatement：

前提：连接的数据库必须支持预处理！几乎没有不支持的！

每个pstmt都与一个sql模板绑定在一起，先把sql模板给数据库，数据库先进行校验，再进行编译。执行时只是把参数传递过去而已！

若二次执行时，就不用再次校验语法，也不用再次编译！直接执行！