PreparedStatement
作用
预编译sql,并执行sql语句
防止sql注入’or’1’='1
①获取PreparedStatement对象
//sql语句中的参数值,使用 ? 占位符代替
String sql = "sqlect * from 表名 where username = ? and password = ?";
//通过connection对象获取,并传入对应的sql语句
PreparedStatement pstmt = conn.PreparedStatement(sql);
②设置参数值
PreparedStatement对象 : setXXX(参数1,参数2):给?赋值
XXX:数据类型; 如 setInt( 参数1,参数2)
参数:
参数1:?的位置编号,从1开始
参数2:?的值
③执行sql
executeUpdate();
executeQuery();