JDBC查阅笔记---JDBC 03

PreparedStatement作用

 

1、预编译SQL语句并执行:预防SQL注入问题

 

SQL注入:

 

SQL注入是通过操作输入来修改预先定义好的SQL语句，用以达到执行代码对服务器进行攻击的方法。

1. 获取PreparedStatement对象   

//SQL语句中的参数值，使用?占位符替代
String sql="select * from user where username =? and password= ?";
//通过Connection对象获取，并传入对应的sql语句
PreoaredStatement pstmt=conn.prepareStatement(sql;)

   2.设置参数值

PreparedStatement对象:setXxx(参数1，参数2):给?赋值
Xxx:数据类型;如setInt(参数1,参数2)
    参数:
参数1：?的位置编号，从1开始
参数2:？的值

   3.执行SQL

executeUpdate();/executeQuery(); 不需要再传递sql

预编译功能需要在url后面加入useServerPrepStmts=true才能开启.