JDBC连接数据库步骤:
1:加载JDBC驱动程序
2:提供JDBC连接的URL
3:创建数据库的连接
4:创建一个Statement对象(最好是PrepareStatement对象)
5:执行SQL语句
6:处理数据
7:关闭JDBC对象
为什么用preparestatement对象?
1:代码的可读性和可维护性
2:PrepareStatement是预编译的,对于批量处理可以大大提高效率。最大可能提高性
3:可以阻止常见的SQL注入式攻击。
例: str SQL = "select * from users where name = '"+userName+'"and pw = '"+passWord+"';"
恶意填入:userName = "1' OR '1' = '1"; passWord = "1' OR '1' = '1";
最终SQL语句:str SQL = "select * from users where name ='1' OR '1' = '1' and pw = '1' OR '1' = '1'";"
因为where条件恒为真,这样就执行了 str SQL = "select * from users",无账号密码登陆网站。