PreparedStatement

Posted 2021-01-14 bd195746

1、为什么使用PreparedStatement而不使用Statement？

（1）使用Statement需要拼写SQL语句

（2）使用Statement可以发生SQL注入

SQL注入：SQL注入是利用某些系统没有对用户输入的数据进行充分的检查，而在用户输入数据中注入非法的SQL语句段或命令，从而利用系统的SQL引擎完成恶意行为的做法。

String username = "a‘ OR PASSWORD = ";
String password = " OR ‘1‘=‘1";

String sql = "SELECT * FROM users WHERE username = ‘" + username
+ "‘ AND " + "password = ‘" + password + "‘";

2、PreparedStatement是什么？

（1）是Statement的子接口

（2）是预编译对象，可以传入带占位符的SQL语句，并且提供了补充占位符变量的方法，从而能最大可能提高性能。

3、如何使用PreparedStatement？

（1）创建PreparedStatement：

String sql = "insert into 表名 values(?,?,?...)";

PreparedStatement ps = conn.preparedStatement(sql);

（2）调用PreparedStatement的setXxx(int index,Object val)设置占位符的值，index的值从1开始。

preparedStatement.setString(1,”值“);

（3）执行SQL语句：executeQuery()或executeUpdate()，注意：执行时不再需要传入SQL语句。

preparedStatement.executeUpdate();