预编译PreparedStatement 使用范围:一次需要更新数据库表多条记录,当执行相似sql语句的次数比较多(对表频繁操作)语句一样,只是具体的值不一样,被称为动态SQL
SQL语句具有一个或多个输入参数,这些输入参数的值在SQL语句创建时未被指定,而是为每个输入参数保留一个问号("?")作为占位符。
Statement:
用于执行静态 SQL 语句并返回它所生成结果的对象
创建Statement对象时,如果用SQL语句做参数,则在执行SQL语句时会一起被解析和编译进去
当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译。
PreparedStatement:
1、可以写动态参数化的查询
2、提高使用效率:语句只编译一次,减少编译次数。
3、提高安全性:可以防止SQL注入式攻击
传入的任何参数(数据)都不会和已经编译的SQL语句进行拼接在一起编译,传入的内容不会和原来语句发关系,避免了SQL注入隐患。
例:
一些恶义的SQL语法
String sql=String.format(" select * from student
where stuName= '%S' and stuPassword='%s'",name,password);
如果我们把[ 1 or 1 = 1 ]作为password传入进来,因为’1’=’1’肯定成立,所以可以通过任何验证
如果你使用预编译语句,你传入的任何内容就不会和原来的语句发生任何匹配的关系,
用不着对传入的数据做任何过虑
String sql="select from student where stuName = ? and stuPassword = ? ";
PreparedStatement ps=conn.PrepareStatement( sql );
数据库系统会对sql语句进行预编译处理(如果JDBC驱动支持的话),预处理语句将被预先编译好,这条预编译的sql查询语句能在将来的查询中重用.