数据库连接被用于向数据库服务器发送命令和SQL语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。
在java.sql包中有3个接口分别定义了对数据库调用的不同方式:
1、Statement:用于执行静态SQL语句并返回它所生成结果的对象。
2、PreparedStatement:SQL语句被预编译在此对象中,可以使用此对象多次高效的执行该语句。
3、CallableStatement:用于执行SQL存储过程。
使用Statement操作数据表的弊端
通过调用Connection对象的createStatement()方法创建该对象,该对象用于执行静态的SQL语句,并且返回执行结果。
Statement接口中定义了下列方法用于执行SQL语句:
int executeUpdate(String sql);执行更新操作insert、update、delete
ResultSet executeQuery(String sql);执行查询操作select
但是使用Statement操作数据表存在弊端:
问题一:存在拼串操作,繁琐。
问题二:存在SQL注入问题。
SQL注入是利用某些系统没有对用户输入的数据进行充分检查,而在用户输入数据中注入非法的SQL语句段或命令(如:SELECT user,password FROM user_table WHERE user=‘a’ OR 1 = 'AND password = ‘OR’1’=‘1’),从而利用系统的SQL引擎完成恶意行为的做法。
对于Java而言,要防止SQL注入,只要用PreparedStatement(从Statement扩展而来)取代Statement就可以了。