JDBC查阅笔记---JDBC 03
PreparedStatement作用
1、预编译SQL语句并执行:预防SQL注入问题
SQL注入:
SQL注入是通过操作输入来修改预先定义好的SQL语句,用以达到执行代码对服务器进行攻击的方法。
- 获取PreparedStatement对象
//SQL语句中的参数值,使用?占位符替代
String sql="select * from user where username =? and password= ?";
//通过Connection对象获取,并传入对应的sql语句
PreoaredStatement pstmt=conn.prepareStatement(sql;)2.设置参数值
PreparedStatement对象:setXxx(参数1,参数2):给?赋值
Xxx:数据类型;如setInt(参数1,参数2)
参数:
参数1:?的位置编号,从1开始
参数2:?的值3.执行SQL
executeUpdate();/executeQuery(); 不需要再传递sql预编译功能需要在url后面加入useServerPrepStmts=true才能开启.
