PreparedStatement
PreparedStatement 好处
- 预编译SQL,性能更高
- 防止SQL注入:将敏感字符进行转义
SQL注入:SQL注入是通过操作输入来修改实现定义好的SQL语句,用以达到执行代码对服务器进行攻击的方法。
SQL注入问题:
'or '1'= '1
password = ''or '1'= '1'
PreparedStatement会帮我们把字符转义,就解决了sql注入的问题
password = '\'or \'1\'= \'1\'
PreparedStatement预编译功能开启:useServerPrepStmts=true
配置MySQL执行日志(重启sql服务后生效)将下列部分添加到 my.in 目录下
log-output=FILE
general-log=1
general_log_file="D:\mysql.log"
slow-query-log=1
slow_query_log_file="D:\mysql_slow.log"
long_query_time=2
查看D盘中的日志文件,即可看到编译期已经进行转义,防止sql注入了。
当我们开启预编译
查看日志文件
可以看出获取pstm对象的时候,就已经预编译了,执行时直接执行,预编译只进行一次。
PreparedStatement原理总结
- 在获取PreparedStatement对象时,将sql语句发送给mysql服务器进行检查,编译(这些步骤很耗时)
- 执行时就不用进行这些步骤了,速度很快。
- 如果sql模板一样,只需要进行一次检查、编译。
PreparedStatement使用
- 获取PreparedStatement对象
// SQL语句中的参数值,使用?占位符替代
String sql = "select * from user where username = ? and pssword = ?";
// 通过Connection 对象获取,并传入对应的sql语句
PreparedStatement pstm = conn.prepareStatment(sql);
- 设置参数值
PreparedStatement对象:setXxx(参数1,参数2):给?赋值
Xxx:数据类型
参数:参数1:?的位置编号,从1开始
参数2:?的值
- 执行sql
executeUpdate/executeQuery(); 不需要传递sql
//加载驱动类
Class.forName("com.mysql.jdbc.Driver");
//创建连接
String url = "jdbc:mysql://127.0.0.1/jdbc?characterEncoding=utf-8";
String username = "root";
String password = "791345";
Connection conn = DriverManager.getConnection(url,username,password);
//书写sql
String name = "小何";
String pswd = "123456";
String sql = "select * from db1 where name = ? and password = ?";
//准备发送sql的工具
PreparedStatement pstm = conn.prepareStatement(sql);
pstm.setString(1,name);
pstm.setString(2,pswd);
//发送sql
ResultSet rs = pstm.executeQuery();
if(rs.next()){
System.out.println("登陆成功");
}else{
System.out.println("登陆失败");
}
//释放资源
rs.close();
pstm.close();
conn.close();
}