使用Map集合，PreparedStatement 接口对 MySQL 语句中的?占位符进行设置

使用?占位符的原因：Statement不安全，存在SQL注入防风险！

涉及知识点：Map集合，PreparedStatement 接口，MySQL数据库，ResultSet结果集
使用方法：
博主是用的是 eclipse Jee IDE，使用MySQL需要在

.....\工程名\WebContent\WEB-INF\lib

中放入mysql数据库驱动文件，mysql-connector-java-5.1.21.jar
长这个样子，1M左右的大小

Jsp文件form表单中发送用户名和密码，通过Servlet获取并在数据库中进行查找，如果数据库中不存在，则提示“用户名密码输入有误”，并转发到登录界面，如果存在，则进入到mainpage.jap中。
以下是Servlet文件中的doPost()方法中的代码

String username=request.getParameter("username");
String password=request.getParameter("password");
boolean flag=false;
DBUtil db = new DBUtil();	//引入 数据库工具类 对象
String sql="select count(*) from user where username=? and password=?";
Map<Integer,Object> param =new HashMap<Integer,Object>();
param.put(1,username);
param.put(2,password);
ResultSet rs = db.eQuery(sql, param);//获取返回的结果集rs
		
try {
	if(rs!=null && rs.next()) {
		int count =rs.getInt(1);	//获取字段1的数量，如果有记录则为1，没有则为0
		if(count>0) {
		flag=true;	
		}
	}
} 
catch (SQLException e) {
	e.printStackTrace();
}
finally {
	db.closeSql();
}
if(flag) {		//如果数据库中存在该账号密码
//在Servlet中使用session必须先得到session对象
//而JSP中session是内置对象之下，不用创建就可以直接使用
//使用session域传值，session在网页中一直存在，可以直接用request从接口中获取
//向Session中存取登录信息
	HttpSession session = request.getSession();
	session.setAttribute("username",username);
	response.sendRedirect("mainpage.jsp");		//重定向到主界面
}
else {
	request.setAttribute("msg","用户名密码输入有误！");
	//失败，转发到登录界面继续进行登录
	request.getRequestDispatcher("login.jsp").forward(request, response);
	}
}

以下是数据库执行 DBUtil.java 文件中的代码

导入头文件

import java.sql.*;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.*;
import java.sql.Connection;

首先注册并链接MySQL数据库

// 定义JDBC连接Mysql 5
private static final String DRIVER = "com.mysql.jdbc.Driver";	
//定义所使用数据库的 主机号 端口号 数据库名
private static final String URL = "jdbc:mysql://localhost:3306/数据库名";
//定义所用数据库的 用户名 和 密码
private static final String USERNAME = "用户名";
private static final String PASSWORD = "密码";

//公共元素

int num = 0;	//返回所需查询结果的个数
Connection conn = null;	//建立连接	
ResultSet rs = null;	//sql查询结果保存在结果集中	
PreparedStatement ps = null;	//


//在默认构造方法中注册驱动，获取数据库连接
	public DBUtil() {
		try {
			Class.forName(DRIVER);	//注册驱动
			//获取数据库的连接
			conn = DriverManager.getConnection(URL, USERNAME, PASSWORD);
		} 
		catch (ClassNotFoundException e) {
			e.printStackTrace();
		}
		catch (SQLException e) {
			e.printStackTrace();
		}	
	}
	

实现查询方法

	
	//返回一个结果集
	public ResultSet eQuery(String sql,Map<Integer,Object> param) {
		try {
			ps = conn.prepareStatement(sql);
			//用循环给？占位符赋值
			//Map有两个集合，一个是值的集合，用 Map接口对象.keySet()获取，一个是键的集合，用 接口对象.values()获取 
			for(Integer key : param.keySet()) {		//获取Map中key的集合
				Object value = param.get(key);  //获取key对应的value值
				ps.setObject(key, value);
			}
			rs = ps.executeQuery();	//返回一个结果集rs	
		} 
		catch (SQLException e) {
			e.printStackTrace();
		}
		return rs;
	}
	

实现增删改方法

	//返回受影响的记录条数 是一个整数
	public int eUpdate(String sql,Map<Integer,Object> param) {
		try {
			ps = conn.prepareStatement(sql);
			for(Integer key : param.keySet()) {
				Object value = param.get(key);
				ps.setObject(key,value);
			}
			num = ps.executeUpdate();    //返回受影响的记录条数
		} 
		catch (SQLException e) {
			e.printStackTrace();
		}
		return num;
	}
	

关闭数据库连接

	public void closeSql() {
		
			try {
				if(ps != null) {
					ps.close();
				}
				if(rs != null) {
					rs.close();
				}
				if(conn != null) {
					conn.close();
				}
			} 
			catch (SQLException e) {
				e.printStackTrace();
			}	
	}
}

JDBC流程：

//			
//第一步：加载Driver类，注册数据库驱动；

//第二步：通过DriverManager,使用URL、用户名、密码去建立连接(Connection)；
//
//第三步：通过Connection，使用sql语句打开Statement、PreparedStatement对象；
//
//第四步：执行ps.executeQuery() 或 ps.executeUpdate() 语句，将结果返回 ResultSet；
//
//第五步：对结果ResultSet进行处理；
//
//第六步：倒叙释放资源ResultSet-》PreparedStatement-》Connection。

---

使用PreparedStatement 接口设置?占位符的原因：如使用Statement执行sql语句，在登陆的时候，用户名使用

' or 1=1 --

时，会成功登录，这是很大的漏洞，同样的，在输入框也可以写一些极具危险性的sql语句！所以不建议使用Statement用在商业项目上。
注：-- 是数据库注释