为什么使用PreaparedStatement:
1.使用statement需要通过字符串,拼写出对应的数据库命令
2. 使用PreparedStatement可以有效防止sql注入,sql注入攻击是利用某些系统没有对用户输入的数据进行充分的
检查,而在用户输入数据中注入非法的SQL语句段或命令,从而利用系统的SQL引擎完成恶意行为的做法,对于Java而言,
只要使用PreparedStatement取代Statement就可以了
使用方法:
PreparedStatement是Statement的子接口,可以传入带有占位符的字符串,可以设置占位符对应的变量
准备sql语句,使用占位符
创建 PreparedStatement
PreparedStatement ps = conn.prepareStatement(sql);
调用PreparedStatement的setXxx(int index,Object val)设置占位符的值(索引从1 开始)
执行时,不再传入sql,executeUpdate(),executeQuery()
String sql = "INSERT INTO users(username,password,age,sex) VALUES(?,?,?,?);"; // 插入语句
PreparedStatement ps = conn.prepareStatement(sql);
ps.setString(1,"Guco");
ps.setString(2, "awef");
ps.setInt(3,25);
ps.setInt(4,0);
ps.executeUpdate();
String sql2 = "SELECT * FROM users "; //查询语句
ps = conn.prepareStatement(sql2);
ResultSet res = ps.executeQuery();
while(res.next()){
System.out.print(res.getString(1));
System.out.print(res.getString(2));
System.out.print(res.getString(3));
System.out.print(res.getString(4));
System.out.println(res.getString(5));
}
res.close();
ps.close();
conn.close();