PreparedStatement执行sql的对象

　　1，SQL注入问题：拼接sql时，有一些sql的特殊关键字参与字符串的拼接。会造成安全问题

　　　　1.输入用户随便，输入密码：a ‘ or ’a‘

　　　　2.sql：select * from user where username = ’zhangsan‘ and password = ’a‘ or ’a‘ = ’a‘

　　2，解决sql注入问题：使用PreparedStatement对象来解决

　　3，编译的SQL：参与使用？作为占位符

步骤

　　1，导入启动jar包 mysql-connector-java-5.1.37-bin.jar

　　2，注册驱动

　　3，获取数据库链接对象 connection

　　4，定义sql

　　　　*注意：sql的参数使用？作为占位符。如：select * from user where username = ？ and password = ？；

　　6，给？赋值：

　　　　*方法：setXXX（参数1，参数2）

　　　　　　*参数1：?的位置编号从1开始

　　　　　　*参数2：？的值

　　7，执行sql，接受返回结果，不需要传递sql语句

　　8，处理结果

　　9，释放资源

posted @ 2022-10-19 11:32 帕拉利斯阅读(28) 评论(0) 收藏举报

刷新页面返回顶部

NanFangDaGua