JDBC笔记-PreparedStatement
来源:互联网 发布:js 全局命名空间 编辑:程序博客网 时间:2024/05/22 00:35
1.Statement语句执行sql
String sql = "insert into customers (name, email) values("+ parameterName + "," + parameterEmail
+ ")";
Statement statement = connection.createStatement(sql);
int rslt = statement.executeUpdate();
2.PreparedStatement语句执行sql
上述方法构造sql语句时比较麻烦,所需要的参数都需要自己拼凑。PreparedStatement使用起来更加方便。
//用?留下占位符,通过SetXxx的形式来设置占位符的内容。
String sql = "insert into customers (name, email) values(?, ?)";
//获取PreparedStatement
PreparedStatement statement = connection.prepareStatement(sql);
//注意index从1开始
statement.setString(1, parameterName);
//尽量设置类型,编译器可以帮助检测错误,通用的也可以用setObject
statement.setObject(2, parameterEmail);
int rslt = statement.executeUpdate();
3.PreparedStatement优点
1)代码可读性好2)PreparedStatement是经过编译过的,执行效率高。
3)SQL注入防止
最重要的问题是这个拼凑过程如果检查不足,可能会导致SQL注入。
比如下面的语句:
"select * from customers where password = " + password;
如果password传值为 " OR '1' = '1'" 则条件恒成立。
用PreparedStatement进行Set属性的话则没有这些问题。
<完>
0 0
- JDBC笔记-PreparedStatement
- jdbc 学习笔记3(PreparedStatement对象)
- JDBC-PreparedStatement
- JDBC---PreparedStatement
- jdbc PreparedStatement
- JDBC:PreparedStatement
- JDBC学习笔记之dml语句(PreparedStatement&Statement)
- JDBC 笔记4 PreparedStatement 与Statement 的区别
- JDBC学习笔记(5)之PreparedStatement、ResultSetMetaData实现
- JDBC学习笔记(4)—PreparedStatement执行SQL语句
- JDBC基础教程之PreparedStatement
- JDBC基础教程之PreparedStatement
- JDBC 之 PreparedStatement 接口
- JDBC基础教程之PreparedStatement
- JDBC基础教程之PreparedStatement
- JDBC基础教程之PreparedStatement
- JDBC中PreparedStatement简介
- JDBC之PreparedStatement
- Java的字符串
- 组合查询=实体+模板方法——机房重构点滴积累
- [可并堆] BZOJ 2333 [SCOI2011]棘手的操作
- OneAPM性能监控
- ContextLoaderListener和DispatcherServlet的相互关系
- JDBC笔记-PreparedStatement
- unity5.3.4 cloth系统使用方法(1)--小白入门
- frame 与 bounds 的区别与关系
- java 插入表记录后得到自增的id (转) (附3种方法代码)
- 从cmd启动截图工具
- Java网络编程的框架
- 计算n!的位数
- 用C++写Stash
- 11个最常用的AJAX框架