JDBC使用预编译声明的操作步骤

简单用户登录过程为例

实质：通过判断传入的用户名（username）和密码（password）参数在数据库（mydb1）中是否可以查询到，使用preparedStatement对象可以避免sql攻击（传入的参数是sql语句的部分从而导致的问题，黑客的填空游戏）

基本代码如下

其中涉及到的异常未做处理

public void login(String username,String password){    //1、注册驱动    Class.forName(com.mysql.jdbc.Driver);    //2、建立数据库连接    Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb1","root","root");    //3、生成sql语句    String sql="select * from tb_user where username=? and password=?";    //4、建立查询对象——预编译声明对象    PreparedStatement pstmt=conn.prepareStatement(sql);    //5、设置参数给占位符,注意从1开始    pstmt.setString(1,username);    pstmt.setString(2,password);    //6、执行查询操作，返回结果集    ResultSet rs=pstmt.executeQuery();    if(rs.next()){        System.out.println("登录成功");        }        else{        System.out.println("用户名或者密码错误");    //7、完成整个过程后关闭    rs.close();    pstmt.close();    conn.close();}