与Statement对象的区别
引入PreparedStatement对象是因为使用Statement对象容易被SQL注入,而PreparedStatement对象采用了预编译的方法,会对传入的参数进行强制类型检查和安全检查,进而避免了SQL注入的产生,使得操作更加安全(具体见博客内的文章SQL注入简介)
操作方法
-
编写SQL语句
String sql = "select * from users where id = ?";
String sql = "insert into users(id, name, password, email, birthday) values(?,?,?,?,?)"
String sql = "update account set money = money - ? where id = ?"; -
预编译
st = conn.prepareStatement(); -
传递参数
st.setInt(1,2); -
执行
rs = st.executeQuery();
使用方法的区别
- SQL语句中使用?占位符代替参数
- 创建对象的方法不同
conn.createStatement();conn.prepareStatement(sql);
- PrepareStatement中使用预编译SQL,先写sql,然后不执行
- 传递参数方法中第一个参数表示第几个占位符,第二个参数则为该占位符的要传递的值
注意事项
占位符不能代替字段名
示例
package com.test;
import com.test.second.JdbcUtils;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Date;
public class PrepareTest {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement st = null;
ResultSet rs = null;
try {
conn = JdbcUtils.getConnection();
String sql = "insert into users(id,`name`,`password`,`email`,`birthday`) values(?,?,?,?,?)";
st = conn.prepareStatement(sql);
st.setInt(1,1);
st.setString(2,"cyh");
st.setString(3,"123456");
st.setString(4,"1294967895@qq.com");
// 注意点:sql.Date是数据库中使用的时间,java,sql.Date()
// util.Date是java中使用的时间,new Date().getTime()获得当前时间戳
st.setDate(5,new java.sql.Date(new Date().getTime()));
// i返回操作数据数
int i = st.executeUpdate();
if(i>0){
System.out.println("插入成功");
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
JdbcUtils.release(conn,st,rs);
}
}
}
Q.E.D.
