-
why:
1.1 使用 Statement 需要进行拼写 SQL 语句 . 很辛苦 . 而且容易出错 .
1.2 使用 Statement 可能会发生 SQL 注入SQL注入:SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL 引擎完成恶意行为的做法对于 Java 而言,要防范 SQL 注入,只要用PreparedStatement 取代 Statement 就可以了.
-
what:
2.1 是 Statement 的子接口.
2.2 可以传入带占位符的 SQL 语句. 并且提供了补充占位符变量的方法. -
How:
//3.1 创建 PreparedStatement:
String sql = "INSERT INTO examstudent VALUES(?,?,?,?,?)"
PreparedStatement ps = conn.prepareStatement(sql);
//3.2 调用PreparedStatement 的 setXxx(int index,Object val) 设置占位符的值. index 的值从 1 开始.
String sql = "SELECT FlowID,Type,IDCard,ExamCard,StudentName,Location,Grade FROM examstudent WHERE FlowID = ?";
connection = getConnection();
preparedStatement = connection.prepareStatement(sql);
preparedStatement.setInt(1, 4);
//3.3 执行 SQL 语句 : executeQuery() 或 executeUpdate(). 注意 : 执行时不再需要传入 SQL 语句 .
resultSet = preparedStatement.executeQuery();