JDBC
PreparedStatement对象
执行sql的对象,解决sql注入问题。
sql注入:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成一些安全问题。
静态的sql:在生成sql语句时,sql的所有内容就已经编写好了。
预编译sql:在生成sql语句时,参数用"?"进行替代。
PreparedStatement对象与Statement对象的使用也有一些不同:
- 在编写sql语句时,使用的参数用"?"替代。
- 获取执行sql的对象获取的也是PreparedStatement对象,并且获取对象时就将sql语句传进去了,而不是在执行sql的时候传sql语句
- 通过SetXxx(参数1,参数2)方法给"?"赋值。参数1:?的位置,编号从1开始;参数2:参数的值。
例子:
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
public class test {
public static void main(String[] args) {
try {
Class.forName("com.mysql.jdbc.Driver");//注册驱动
Connection connection= DriverManager.getConnection("jdbc:mysql://localhost:3306/text","root","root");//连接数据库(数据库的地址+数据库名字)
String sql="insert into student values(?,?,?)";//编写sql
PreparedStatement preparedStatement=connection.prepareStatement(sql);//获取执行sql的对像
preparedStatement.setString(1,"小明");
preparedStatement.setInt(2,3);
preparedStatement.setInt(3,5);//设置?的值
int a=preparedStatement.executeUpdate(); //执行sql返回值
System.out.println(a);
} catch (Exception e) {
e.printStackTrace();
}
}
}