通过PreparedStatement实现CRUD操作
PreparedStatement:表示预编译的SQL语句的对象。 SQL语句已预编译并存储在PreparedStatement对象中。 然后可以使用该对象多次有效地执行此语句。
Statement:用于执行静态SQL语句并返回其生成的结果的对象。
不用Statement实现CRUD操作的原因:不能防止SQL注入,效率较低。
SQL注入:将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器,进而传给数据库服务器以执行数据库命令。
即通过不正确方式操作数据库。
例如:SELECT user,password FROM user_table WHERE USER = ‘1’ or ’ AND PASSWORD = '=‘1’ or ‘1’ = ‘1’;
用户名和密码没有输入正确 但是也可以操作数据库,对数据库安全性有很大的影响,而通过PreparedStatement可以很好防止SQL注入。
增删改操作:
首先将表封装为一个类,表中的字段封装为成员变量,例如 Order表