三、使用PreparedStatement实现增删改查（CRUD）操作

一、操作和访问数据库

1. 数据库连接被用于向数据库服务器发送命令和SQL语句，并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。
2. 在java.sql包中有三个接口分别定义了对数据库的调用的不同方式：

• Statement: 用于执行静态SQL语句并返回它所生成结果的对象。
• PrepatedStatement: SQL语句被预编译并存储在此对象中，可以使用此对象多次高效地执行该语句。
• CallableStatement: 用于执行SQL存储过程。

二、使用Statement操作数据库表的弊端

1. 使用Statement操作数据表存在弊端：

• 问题一：存在拼串操作，繁琐
• 问题二：存在SQL注入问题

2. SQL注入是利用某些系统没有对用户输入的数据进行充分的检查，而在用户输入数据中注入非法的SQL语句段或命令（如：SELECT user,password FROM user_table WHERE user = ‘a’ OR ‘1’ = 'AND password = ’ OR ‘1’ = ‘1’）,从而利用系统的SQL引擎完成恶意行为的做法。

3. 对于java而言，要防范SQL注入，只要用PreparedStatement(从Statement扩展而来) 取代Statement就可以了。

三、PreparedStatement

• 可以通过调用 Connection 对象的 preparedStatement() 方法获取
  PreparedStatement 对象

• PreparedStatement 接口是 Statement 的子接口，它表示一条预编译过的
  SQL 语句

• PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示，调
  用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方
  法有两个参数，第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开
  始)，第二个是设置的 SQL 语句中的参数的值

四、PreparedStatement vs Statement

• 代码的可读性和可维护性.。
• PreparedStatement 能最大可能提高性能：
• PreparedStatement 可以防止 SQL 注入

五、连接数据库、操作表的步骤

通用增删改操作代码：

	//通用的增删改操作
	//sql中占位符的个数与可变形参的长度相同
	public void update(String sql,Object...args){
		Connection conn = null;
		PreparedStatement ps = null;
		try {
			//1.获取数据库的连接
			conn = JDBCUtils.getConnection();
			//2.预编译sql语句，返回PreparedStatement的实例
			ps = conn.prepareStatement(sql);
			//3.填充占位符
			for (int i = 0; i < args.length; i++) {
				ps.setObject(i+1,args[i]); //小心参数声明错误
			}
			//4.执行
			ps.execute();
		} catch (Exception e) {
			e.printStackTrace();
		}finally {
			//5.资源的关闭
		JDBCUtils.closeResource(conn, ps);
		}
	}

JDBCUtils类：

import java.io.IOException;
import java.io.InputStream;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.util.Properties;

import com.atguigu1.connection.ConnectionTest;
import java.sql.Statement;

public class JDBCUtils {
	/**
	 * 获取数据库的连接
	 * 
	 * @return
	 * @throws Exception
	 */
	public static Connection getConnection() throws Exception {
		// 1.读取配置文件的4个基本信息
		InputStream is = ClassLoader.getSystemClassLoader().getResourceAsStream("jdbc.properties");

		Properties pros = new Properties();
		pros.load(is);

		String user = pros.getProperty("user");
		String password = pros.getProperty("password");
		String url = pros.getProperty("url");
		String driverClass = pros.getProperty("driverClass");
		// 2.加载驱动
		Class.forName(driverClass);

		// 3.获取连接
		Connection conn = DriverManager.getConnection(url, user, password);

		return conn;
	}

	/**
	 * 关闭连接和Statement的操作
	 * @param conn
	 * @param ps
	 */
	public static void closeResource(Connection conn, Statement ps) {
		// 7.资源的关闭
		try {
			if (ps != null)
				ps.close();
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
		try {
			if (conn != null)
				conn.close();
		} catch (SQLException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}
	}
}

释放资源

• 释放ResultSet, Statement,Connection。
• 数据库连接（Connection）是非常稀有的资源，用完后必须马上释放，
  如果Connection不能及时正确的关闭将导致系统宕机。Connection的使
  用原则是尽量晚创建，尽量早的释放。

我的博客：https://blog.csdn.net/txb116424