Java中的PreparedStatement对象使用解析
目录
- Java的PreparedStatement对象
- 与Statement对象的区别
- 操作方法
- 使用方法的区别
- 示例
Java的PreparedStatement对象
与Statement对象的区别
引入PreparedStatement对象是因为使用Statement对android象容易被SQL注入,而PreparedStatement对象采用了预编译的方法,会对传入的参数进行强制类型检查和安全检查,进而避免了SQL注入的产生,使得操作更加安全(具体见博客内的文章SQL注入简介)
操作方法
编写SQL语句
String sql = "select * from users where id = ?"; String sql = "insert into users(id,name,password,email,birthday) values(?,?,?,?,?)" String sql = "updateaccountset money = money - ? whereid= ?";
预编译
st = conn.prepareStatemenwww.devze.comt();
传递参数
st.setInt(1,2);
执行
rs = st.executeQuery();
使用方法的区别
- SQL语句中使用?占位符代替参数
- 创建对象的方法不同
- conn.createStatementpython();
- conn.prepareStatement(sql);
- PrepareStatement中使用预编译SQL,先写sql,然后不执行
- 传递参数方法中第一个参数表示第几个占位符,第二个参数则为该占位符的要传递的值
注意事项
占位符不能代替字段名
示例
package com.test;
import com.test.second.JdbcUtils;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultShttp://www.devze.comet;
import java.sql.SQLException;
import java.util.Date;
public class PrepareTest {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement st = null;
ResultSet rs = null;
try {
conn = JdbcUtils.getConnection();
String sql = "insert into users(id,`name`,`password`,`email`,`birthday`) values(?,?,?,?,?)";
st = conn.prepareStatement(sql);
st.setInt(1,1);
st.setString(2,"cyh");
st.setString(3,"123456");
st.setString(4,"1294967895@qq.com");
// 注意点:sql.Date是数据库中使用的时间,java,sql.Date()
// util.Date是java中使用的时间,new Date().getTime()获得当前时间戳
st.setDate(5,new javahttp://www.devze.com.sql.Date(new Date().getTime()));
// i返回操作数据数
int i = st.executeUpdate();
if(i>0){
System.out.println("插入成功");
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
JdbcUtils.release(conn,st,rs);
}
}
}
到此这篇关于Java中的PreparedStatement对象使用解析的文章就介绍到这了,更多相关Java的PreparedStatement对象内容请搜索编程客栈(www.devze.com)以前的文章或继续浏览下面的相关文章希望大家以后多多支持编程客栈(www.devze.com)!
加载中,请稍侯......
精彩评论