//使用预编译不需要对SQL语句进行拼接,而是使用?占位符,因此可以防止SQL注入,提升了安全性。
1.提高代码可读性和可维护性
2.提高sql语句执行性能
3.提高安全性
PreparedStatement pst=new PreparedStatement();
String sql=”select * from user2 where name=?”
String userName=”lily”;
Pst.setString(1,userName);
pst=conn.prepareStatement(sql);
pst.setString(1,user.getName());
rs=pst.executeQuery();
SQL注入:
登录页面用户名输入(username):x
登录页面密码输入(password):x’ or ‘1’=’1
由于登录时的sql语句为:String sql=”select * from user where username=’”+username+”’ and password=’”+password+”’”;
用户密码在sql拼接中加入了 or 1 = 1的判断条件,始终为真,所以肯定能登录成功。