学习疑问处理

1、复制表命令
只复制表结构到新表
create table 表名 select * from 旧表 where 1=2
复制表结构及数据到新表
create table 表名 select * from 旧表

2、查看当前用户下所有的表命令
show tables

3、SQL注入是什么 ？怎么解决？

SQL注入就是用户在能够控制SQL查询、更新、插入、删除等语句的参数的情况下，
攻击者通过构造特殊的输入字符串使后端程序错误地识别
SQL查询语句中的代码与数据部分从而导致数据库管理系统输出了非预期的结果的一种行为。
SQL注入本质上来讲就是拼接字符串，通过输入额外的信息破坏外后端脚本原有的查询语句结构，从而达成注入的目的。

-- 原sql
select * from t_user where username = "jack" and passworld = '123'

-- 什么是sql注入： 通过字符串拼接，篡改sql，这就是sql注入
select * from t_user where username = ''or'1'='1' and passworld = ''or'1'='1'
select * from t_user where 1 = 1

-- 出现的sql注入原因：字符串拼接，篡改sql
-- 解决思想，不让sql进行拼接，占位（先占位，不写）

select * from t_user where username = ? and passworld = ?

PreparedStatement解决sql注入

1，执行效率：Statement 采取直接编译 SQL 语句的方式，扔给数据库去执行，而 PreparedStatement 则先将 SQL 语句预编译一遍，再填充参数，这样效率会高一些。SQL 语句被预编译并且存储在 PreparedStatement 对象中，其后可以使用该对象高效地多次执行该语句。

2，代码可读性：Statement 中 SQL 语句中需要 Java 中的变量，加就得进行字符串的运算，还需要考虑一些引号、单引号的问题，参数变量越多，代码就越难看，而且会被单引号、双引号搞疯掉；而 PreparedStatement，则不需要这样，参数可以采用“?”占位符代替，接下来再进行参数的填充，
这样利于代码的可读性，并且符合面向对象的思想。

3，安全性：Statement 由于可能需要采取字符串与变量的拼接，很容易进行 SQL 注入攻击，而 PreparedStatement 由于是预编译，再填充参数的，不存在 SQL 注入问题。

4、PreparedStatement进行了预编译处理，当下次执行相同的sql，sql就不会再编译了，比Statement的效率高。Statement每执行一次sql进行编译一次