JDBC--PreparedStatement
目录
PreparedStatement对象
PreperedStatement是Statement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法获得:
- PreperedStatement可以避免SQL注入的问题。
- Statement会使数据库频繁编译SQL,可能造成数据库缓冲区溢出。
- PreparedStatement可对SQL进行预编译,从而提高数据库的执行效率。
- PreperedStatement对于sql中的参数,允许使用占位符的形式进行替换,简化sql语句的编写。
使用PreparedStatement对象完成对数据库的CRUD操作
1、插入数据
package com.kou.lesson; import com.kou.lesson.utils.JdbcUtils; import java.sql.Connection; import java.util.Date; import java.sql.PreparedStatement; import java.sql.ResultSet; public class TestInsert { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{ //获取一个数据库连接 conn = JdbcUtils.getConnection(); //要执行的SQL命令,SQL中的参数使用?作为占位符 String sql = "insert into users(id,name,password,email,birthday) values(?,?,?,?,?)"; //通过conn对象获取负责执行SQL命令的prepareStatement对象 st = conn.prepareStatement(sql); //为SQL语句中的参数赋值,注意,索引是从1开始的 st.setInt(1, 4);//id是int类型的 st.setString(2, "koudada");//name是varchar(字符串类型) st.setString(3, "123");//password是varchar(字符串类型) st.setString(4, "2414860971@qq.com");//email是varchar(字符串类型) st.setDate(5, new java.sql.Date(new Date().getTime()));//birthday是date类型 //执行插入操作,executeUpdate方法返回成功的条数 int num = st.executeUpdate(); if(num>0){ System.out.println("插入成功!!"); } }catch (Exception e) { e.printStackTrace(); }finally{ //SQL执行完成之后释放相关资源 JdbcUtils.release(conn, st, rs); } } }
2、删除一条数据
package com.kou.lesson; import com.kou.lesson.utils.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; public class TestDelete { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{ conn = JdbcUtils.getConnection(); String sql = "delete from users where id=?"; st = conn.prepareStatement(sql); st.setInt(1, 4); int num = st.executeUpdate(); if(num>0){ System.out.println("删除成功!!"); } }catch (Exception e) { e.printStackTrace(); }finally{ JdbcUtils.release(conn, st, rs); } } }
3.更新一条数据
4.查询一条数据
package com.kou.lesson; import com.kou.lesson.utils.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; public class TestSelect { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{ conn = JdbcUtils.getConnection(); String sql = "select * from users where id=?"; st = conn.prepareStatement(sql); st.setInt(1, 1); rs = st.executeQuery(); if(rs.next()){ System.out.println(rs.getString("name")); } }catch (Exception e) { }finally{ JdbcUtils.release(conn, st, rs); } } }
5.避免SQL注入
package com.kou.lesson; import com.kou.lesson.utils.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; public class SQL注入 { public static void main(String[] args) { // login("zhangsan","123456"); // 正常登陆 login("'or '1=1","123456"); // SQL 注入 } public static void login(String username,String password){ Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try{ conn = JdbcUtils.getConnection(); // select * from users where name='' or '1=1' and password = '123456' String sql = "select * from users where name=? and password=?"; st = conn.prepareStatement(sql); st.setString(1,username); st.setString(2,password); rs = st.executeQuery(); while(rs.next()){ System.out.println(rs.getString("name")); System.out.println(rs.getString("password")); System.out.println("=============="); } }catch (Exception e) { e.printStackTrace(); }finally{ JdbcUtils.release(conn, st, rs); } } }
原理:执行的时候参数会用引号包起来,并把参数中的引号作为转义字符,从而避免了参数也作为条件的一部分
同步csdn:https://blog.csdn.net/qq_43322680
浙公网安备 33010602011771号