码迷,mamicode.com
首页 > 其他好文 > 详细

PreparedStatement

时间:2018-10-24 19:56:59      阅读:165      评论:0      收藏:0      [点我收藏+]

标签:set   word   .exe   补充   最大   and   dex   sel   注意   

1、为什么使用PreparedStatement而不使用Statement?

(1)使用Statement需要拼写SQL语句

(2)使用Statement可以发生SQL注入

SQL注入:SQL注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令,从而利用系统的SQL引擎完成恶意行为的做法。

String username = "a‘ OR PASSWORD = ";
String password = " OR ‘1‘=‘1";

String sql = "SELECT * FROM users WHERE username = ‘" + username
+ "‘ AND " + "password = ‘" + password + "‘";

2、PreparedStatement是什么?

(1)是Statement的子接口

(2)是预编译对象,可以传入带占位符的SQL语句,并且提供了补充占位符变量的方法,从而能最大可能提高性能。

3、如何使用PreparedStatement?

(1)创建PreparedStatement:

String sql = "insert into 表名 values(?,?,?...)";

PreparedStatement ps = conn.preparedStatement(sql);

(2)调用PreparedStatement的setXxx(int index,Object val)设置占位符的值,index的值从1开始。

preparedStatement.setString(1,”值“);

(3)执行SQL语句:executeQuery()或executeUpdate(),注意:执行时不再需要传入SQL语句。

preparedStatement.executeUpdate();

PreparedStatement

标签:set   word   .exe   补充   最大   and   dex   sel   注意   

原文地址:https://www.cnblogs.com/bd195746/p/9845057.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!