在SQL包含特殊字符或SQL关键字 如 'or 1 or'时,Statement将出现不可预料
结果,可用PreparedStatement解决
PreperedStatement从Statement扩展而来,相对Statement的优点:
1.没有SQL注入问题
2.Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出
3.数据库和驱动可以对PreperedStatement进行优化(只有在相关联的数据库
连接没有关闭的情况下有效)
SQLInject.java:
package cn.itcast.jdbc;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class SQLInject {
/**
* @param args
* @throws SQLException
*/
public static void main(String[] args) throws SQLException {
read("name1");
}
static void read(String name) throws SQLException {
Connection conn = null;
PreparedStatement ps = null; //预处理,在构造时就处理完成
ResultSet rs = null;
try {
// 2.建立连接
conn = JdbcUtils.getConnection();
// conn = JdbcUtilsSing.getInstance().getConnection();
// 3.创建语句
String sql = "select id, name, money, birthday from user where name=?"; //?用setString来确定是什么
ps = conn.prepareStatement(sql);
ps.setString(1, name);
// 4.执行语句
rs = ps.executeQuery(); //构造时就已经给了sql语句,所以这里是空
// 5.处理结果
while (rs.next()) {
System.out.println(rs.getInt("id") + "\t"
+ rs.getString("name") + "\t" + rs.getDate("birthday")
+ "\t" + rs.getFloat("money"));
}
} finally {
JdbcUtils.free(rs, ps, conn);
}
}
}