进行数据库插入操作的时候使用 PreparedStatement 更好,好处如下:
- PreparedStatement可以写动态参数化的查询;
- PreparedStatement比 Statement 更快;
- PreparedStatement可以防止SQL注入式攻击
实例:
//编写预处理 SQL 语句
String sql= "INSERT INTO websites1 VALUES(?,?,?,?,?)";
//实例化 PreparedStatement
ps = conn.prepareStatement(sql);
//传入参数,这里的参数来自于一个带有表单的jsp文件,很容易实现
ps.setString(1, request.getParameter("id"));
ps.setString(2, request.getParameter("name"));
ps.setString(3, request.getParameter("url"));
ps.setString(4, request.getParameter("alexa"));
ps.setString(5, request.getParameter("country"));
//执行数据库更新操作,不需要SQL语句
ps.executeUpdate();
sql = "SELECT id, name, url FROM websites1";
ps = conn.prepareStatement(sql);
//获取查询结果
ResultSet rs = ps.executeQuery();
关于MySQL 8.x的版本中,与MySQL 5.x的版本连接字符串不同的问题:
数据库驱动不同:
5.x的版本
mysql-connector-java-5.1.39-bin.jar
Class.forName("com.mysql.jdbc.Driver");
8.x的版本
mysql-connector-java-8.0.15-bin.jar
Class.forName("com.mysql.cj.jdbc.Driver");
连接字符串不同
8.x的版本
jdbc:mysql://localhost:3306/test_demo?useSSL=false&serverTimezone=UTC
注意:不需要SSL的需要显式声明useSSL=false
,时区设置要serverTimezone=UTC