一、基本解釋
1.JDBC(Java DataBase Connection):它是Java用来执行Sql的Java Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。
2.statement:它 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句。
3.preparement:它是从statement上继承过来了,性能比statement好
4.CallableStatement:它是从statemnet上继承过来的
二:JDBC防止sql注入原理:
举列子,登录页面需要使用手机号、密码进行登录。手机号、密码对应数据库字段为account 、pwd;
当在页面上输入手机号-333333、密码55555的时候,数据库使用执行的是 select * from 用户表 where account = ‘+“手机号”’+‘’ and pwd = ‘+“密码”’+‘’,当密码输入格式为 111;or 1=1时,输入的所有内容会直接传入该语句并进行拼接,该查询语句总是正确,所以密码是错误的也能够登录系统。
使用preparement接口,可以进行预编译。预编译时把,输入框传入的数据强制转化为非sql关键字的字符串或者其他数据类型,这样就避免了sql注入。
三、这三种接口的区别:
待续