Java中的PreparedStatement对象使用解析
作者:得过且过的勇者y
这篇文章主要介绍了Java中的PreparedStatement对象使用解析,PreparedStatement对象采用了预编译的方法,会对传入的参数进行强制类型检查和安全检查,进而避免了SQL注入的产生,使得操作更加安全,需要的朋友可以参考下
Java的PreparedStatement对象
与Statement对象的区别
引入PreparedStatement对象是因为使用Statement对象容易被SQL注入,而PreparedStatement对象采用了预编译的方法,会对传入的参数进行强制类型检查和安全检查,进而避免了SQL注入的产生,使得操作更加安全(具体见博客内的文章SQL注入简介)
操作方法
编写SQL语句
String sql = "select * from users where id = ?"; String sql = "insert into users(id,name,password,email,birthday) values(?,?,?,?,?)" String sql = "updateaccountset money = money - ? whereid= ?";
预编译
st = conn.prepareStatement();
传递参数
st.setInt(1,2);
执行
rs = st.executeQuery();
使用方法的区别
- SQL语句中使用?占位符代替参数
- 创建对象的方法不同
- conn.createStatement();
- conn.prepareStatement(sql);
- PrepareStatement中使用预编译SQL,先写sql,然后不执行
- 传递参数方法中第一个参数表示第几个占位符,第二个参数则为该占位符的要传递的值
注意事项
占位符不能代替字段名
示例
package com.test; import com.test.second.JdbcUtils; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; import java.util.Date; public class PrepareTest { public static void main(String[] args) { Connection conn = null; PreparedStatement st = null; ResultSet rs = null; try { conn = JdbcUtils.getConnection(); String sql = "insert into users(id,`name`,`password`,`email`,`birthday`) values(?,?,?,?,?)"; st = conn.prepareStatement(sql); st.setInt(1,1); st.setString(2,"cyh"); st.setString(3,"123456"); st.setString(4,"1294967895@qq.com"); // 注意点:sql.Date是数据库中使用的时间,java,sql.Date() // util.Date是java中使用的时间,new Date().getTime()获得当前时间戳 st.setDate(5,new java.sql.Date(new Date().getTime())); // i返回操作数据数 int i = st.executeUpdate(); if(i>0){ System.out.println("插入成功"); } } catch (SQLException e) { e.printStackTrace(); } finally { JdbcUtils.release(conn,st,rs); } } }
到此这篇关于Java中的PreparedStatement对象使用解析的文章就介绍到这了,更多相关Java的PreparedStatement对象内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!