1.Statement语句执行sql
String sql = "insert into customers (name, email) values("+ parameterName + "," + parameterEmail
+ ")";
Statement statement = connection.createStatement(sql);
int rslt = statement.executeUpdate();
2.PreparedStatement语句执行sql
上述方法构造sql语句时比较麻烦,所需要的参数都需要自己拼凑。PreparedStatement使用起来更加方便。
//用?留下占位符,通过SetXxx的形式来设置占位符的内容。
String sql = "insert into customers (name, email) values(?, ?)";
//获取PreparedStatement
PreparedStatement statement = connection.prepareStatement(sql);
//注意index从1开始
statement.setString(1, parameterName);
//尽量设置类型,编译器可以帮助检测错误,通用的也可以用setObject
statement.setObject(2, parameterEmail);
int rslt = statement.executeUpdate();
3.PreparedStatement优点
1)代码可读性好2)PreparedStatement是经过编译过的,执行效率高。
3)SQL注入防止
最重要的问题是这个拼凑过程如果检查不足,可能会导致SQL注入。
比如下面的语句:
"select * from customers where password = " + password;
如果password传值为 " OR '1' = '1'" 则条件恒成立。
用PreparedStatement进行Set属性的话则没有这些问题。
<完>