Statement
- jdbc中statement对象用于向数据库中发送sql语句,想完成对数据库的增删改查,只需要通过这个对象向数据库发送增删改查语句即可
1.statement对象的executeUpdate方法,用于向数据库发送增,删,改sql语句,executeUpdate执行完毕后,将会返回一个整数(即增删改语句导致了数据库的几行数据发生了变化)
2.Statement.executeQuery()用于向数据库发送查询语句,.executeQuery方法返回代表查询结果的ResultSet对象。
PreParedStatement
1.防止Sql注入的本质,把传递进来的参数当初字符
2.假设其中存在转义字符,比如说 `会被直接转义sql注入问题
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。
package com.hello.jdbc04;
import com.hello.jdbc03.util.JDbcutils;
import java.sql.Connection;
import java.sql.PreparedStatement;
public class test_01 {
public static void main(String[] args) throws Exception {
Connection con=null;
PreparedStatement pstm=null;
con= JDbcutils.getConnection();
String sql="INSERT INTO teacher VALUES(?,?,?)";
//预编译sql,先写sql然后不执行
pstm=con.prepareStatement(sql);
//手动赋值
pstm.setInt(1,7);
pstm.setString(2,"zy");
pstm.setInt(3,2);
//执行
int i=pstm.executeUpdate();
if(i>0)
{
System.out.println("插入成功");
}
//释放
JDbcutils.release(con,pstm,null);
}
}