JDBC（4）—Preparedstatement

• 功能：使用PreparedStatement操作数据表，其功能与Statement一致，但为何要使用PreparedStatement呢。
  
  • 一、原因：
  • 1.使用sql语句进行操作数据表时，需要拼写sql语句，在拼写时容易出错，且不易排查，所以使用PreparedStatement
    *操作数据表时，降低sql语句的拼写难度，简化拼写sql语句的步骤，提高代码的可维护性和可读性。
  • 2.同时还可以有效的防SQL注入。
    *SQL注入：利用某些系统没有对用户输入的数据进行充分的检查，而而在用户中注入非法的SQL语句段或命令从而利用系统的SQL引擎
    *完成恶意操作。
    例如：select from user where username = ‘a’ OR PASSWORD = ’ and password = ’ OR ‘1’ = ‘1’
    *即使不知道账号密码，却可以登录成功。
  • 3.PerparedStatement能够最大可能的提高性能
  • 二、 介绍：PreparedStatement是Statement的子接口，可以传入带占位符的sql语句，也提供了补充占位符变量的方法。
  • 三、操作：向数据表中插入一条Student记录

• 步骤：

  • 1.sql = “insert into examStudent values (?,?,?,?,?,?)”;其中?表示：占位符
  • 2.获取连接Connection
  • 3.创建PreparedStatement ps = conn.preparedStatement(sql);
  • 4.调用PreparedStatement的setXxx(int index,Object value);设置占位符的值
    *其中索引值index从1开始。
  • 5.执行sql语句，使用executeQuery()方法进行查询和executeUpdate()方法进行更新，执行时也不需要传入sql语句。
  • 6.关闭连接

• 实例

//插入一条记录@Test    public void test(){        //1.sql语句        String sql = "insert into customers(name,age,birth,address) values(?,?,?,?)";        Connection conn = null;        PreparedStatement ps = null;        try {            //2.连接            conn = TestTools.getConnection();            //3.获取PerparedStatement对象            ps = conn.prepareStatement(sql);             //4.PreparedStatement对象调用setXxx()方法，设置占位符的值            ps.setString(1, "张强");            ps.setString(2, "32");            ps.setDate(3, new Date(new java.util.Date().getTime()));            ps.setString(4, "河南省");            //5.执行sql语句            ps.executeUpdate();        } catch (SQLException e) {            e.printStackTrace();        } catch (Exception e) {            e.printStackTrace();        }finally{            //6.关闭连接            TestTools.release(ps, conn);        }    }