1、为什么使用PreparedStatement而不使用Statement?
(1)使用Statement需要拼写SQL语句
(2)使用Statement可以发生SQL注入
SQL注入:SQL注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令,从而利用系统的SQL引擎完成恶意行为的做法。
String username = "a' OR PASSWORD = ";
String password = " OR '1'='1";
String sql = "SELECT * FROM users WHERE username = '" + username
+ "' AND " + "password = '" + password + "'";
2、PreparedStatement是什么?
(1)是Statement的子接口
(2)是预编译对象,可以传入带占位符的SQL语句,并且提供了补充占位符变量的方法,从而能最大可能提高性能。
3、如何使用PreparedStatement?
(1)创建PreparedStatement:
String sql = "insert into 表名 values(?,?,?...)";
PreparedStatement ps = conn.preparedStatement(sql);
(2)调用PreparedStatement的setXxx(int index,Object val)设置占位符的值,index的值从1开始。
preparedStatement.setString(1,”值“);
(3)执行SQL语句:executeQuery()或executeUpdate(),注意:执行时不再需要传入SQL语句。
preparedStatement.executeUpdate();