执行方法:使用Statement对象。
Statement简介:
Statement是Connection对象返回的,提供了基本查询的接口的类,一般用来执行简单的、无参数的查询语句。
执行稍微复杂的sql语句,一般选择PreparedStatement,可以有效防止SQLInjection。
Statement对象的获取:
Statement stm = Connection.createStatement();
获取stm对象后,便可以使用以下三种方法执行sql语句:
stm.executeQuery(String sql)用来执行DQL语句。
stm.executeUpdate(String sql)用来执行DML语句。
stm.execute(String sql)可以执行任何SQL语句,不过一般用来执行DDL语句。
例:根据ID查询员工:
<span style="font-size:14px;"> public void testStatement(int empno){
Connection con = null;
try{
con = DBUtil.getConnection();stm = con.createStatement();
String sql = "SELECT * FROM emp WHERE empno="+empno;
ResultSet rs = stm.executeQuery(sql);
while(rs.next()) //对结果集进行遍历并输出
{System.out.println(rs.getString("name")+"..."+rs.getInt("empno"));}
}catch(SQLExeption e){
e.printStackTrack();
throw new RuntimeException("查询员工失败",e);
}finally{ DBUtil.close(con);}}</span>
因为Statement存在漏洞,容易发生SQLInjection,故复杂语句一般用PreparedStatement代替Statement
两者用法不同:PreparedStatement在传入sql语句时,用?代替变量,传入后,会将整个sql语句进行分析后,再传入其他参数执行语句。所以语义不会产生歧义,加强安全性。
PreparedStatement对象的获取:
PreparedStatement ps = con.prepareStatement();
例:使用PreparedStatement根据ID查询员工:
<span style="font-size:14px;"> public void testPreparedStatement(){
//假设传入了部门ID
int deptId = 1;
try {
Connection con = DBUtil.getConnection();
String sql = "SELECT * FROM emps_zp WHERE deptno="+deptId;
Statement stm = con.createStatement();
/*
* 返回的结果集中包含多行多列数据,
* 该对象采用了迭代器模式,
* 因此可以直接while遍历,
* 每次遍历将得到一行数据,
* 再调用方法从这一行中取某列数据。
*/
ResultSet rs = stm.executeQuery(sql);
while(rs.next()){
System.out.println(rs.getInt("empno")+"..."+
rs.getString("ename")+"..."+
rs.getDouble("sal")+"..."+
rs.getInt("deptno"));
}
} catch (SQLException e) {
e.printStackTrace();
throw new RuntimeException("查询员工失败",e);
}
}
</span>