Java-PreparedStatement对象
与Statement对象的区别
引入PreparedStatement对象是因为使用Statement对象容易被SQL注入,而PreparedStatement对象采用了预编译的方法,会对传入的参数进行强制类型检查和安全检查,进而避免了SQL注入的产生,使得操作更加安全(具体见博客内的文章SQL注入简介)
操作方法
编写SQL语句
String sql = "select * from users where id = ?";
String sql = "insert into users(id,name,password,email,birthday) values(?,?,?,?,?)"
String sql = "updateaccountset money = money - ? whereid= ?";
预编译
st = conn.prepareStatement();
传递参数
st.setInt(1,2);
执行
rs = st.executeQuery();
使用方法的区别
SQL语句中使用?占位符代替参数
创建对象的方法不同
conn.createStatement();
conn.prepareStatement(sql);
PrepareStatement中使用预编译SQL,先写sql,然后不执行
传递参数方法中第一个参数表示第几个占位符,第二个参数则为该占位符的要传递的值
注意事项
占位符不能代替字段名
示例
package com.test; import com.test.second.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.util.Date; public class PrepareTest { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try { conn = JdbcUtils.getConnection(); String sql = "insert into users(id,`name`,`password`,`email`,`birthday`) values(?,?,?,?,?)"; st = conn.prepareStatement(sql); st.setInt(1,1); st.setString(2,"cyh"); st.setString(3,"123456"); st.setString(4,"1294967895@qq.com"); // 注意点:sql.Date是数据库中使用的时间,java,sql.Date() // util.Date是java中使用的时间,new Date().getTime()获得当前时间戳 st.setDate(5,new java.sql.Date(new Date().getTime())); // i返回操作数据数 int i = st.executeUpdate(); if(i>0){ System.out.println("插入成功"); } } catch (SQLException e) { e.printStackTrace(); } finally { JdbcUtils.release(conn,st,rs); } } }
