快捷導(dǎo)航

Java中的PreparedStatement對象使用解析

更新時間：2023年12月13日 10:10:04 作者：得過且過的勇者y

這篇文章主要介紹了Java中的PreparedStatement對象使用解析,PreparedStatement對象采用了預(yù)編譯的方法,會對傳入的參數(shù)進(jìn)行強(qiáng)制類型檢查和安全檢查,進(jìn)而避免了SQL注入的產(chǎn)生,使得操作更加安全,需要的朋友可以參考下

Java的PreparedStatement對象

與Statement對象的區(qū)別

引入PreparedStatement對象是因為使用Statement對象容易被SQL注入，而PreparedStatement對象采用了預(yù)編譯的方法，會對傳入的參數(shù)進(jìn)行強(qiáng)制類型檢查和安全檢查，進(jìn)而避免了SQL注入的產(chǎn)生，使得操作更加安全（具體見博客內(nèi)的文章SQL注入簡介）

操作方法

編寫SQL語句

? String sql = "select * from users where id = ?";
? String sql = "insert into users(id,name,password,email,birthday) values(?,?,?,?,?)"
? String sql = "updateaccountset money = money - ? whereid= ?";

預(yù)編譯

? st = conn.prepareStatement();

傳遞參數(shù)

? st.setInt(1,2);

執(zhí)行

? rs = st.executeQuery();

使用方法的區(qū)別

SQL語句中使用?占位符代替參數(shù)
創(chuàng)建對象的方法不同
- conn.createStatement();
- conn.prepareStatement(sql);
PrepareStatement中使用預(yù)編譯SQL，先寫sql，然后不執(zhí)行
傳遞參數(shù)方法中第一個參數(shù)表示第幾個占位符，第二個參數(shù)則為該占位符的要傳遞的值

注意事項

占位符不能代替字段名

示例

package com.test;
import com.test.second.JdbcUtils;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Date;
public class PrepareTest {
    public static void main(String[] args) {
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            conn = JdbcUtils.getConnection();
            String sql = "insert into users(id,`name`,`password`,`email`,`birthday`) values(?,?,?,?,?)";
            st = conn.prepareStatement(sql);
            st.setInt(1,1);
            st.setString(2,"cyh");
            st.setString(3,"123456");
            st.setString(4,"1294967895@qq.com");
            // 注意點：sql.Date是數(shù)據(jù)庫中使用的時間，java,sql.Date()
            //       util.Date是java中使用的時間，new Date().getTime()獲得當(dāng)前時間戳
            st.setDate(5,new java.sql.Date(new Date().getTime()));
            // i返回操作數(shù)據(jù)數(shù)
            int i = st.executeUpdate();
            if(i>0){
                System.out.println("插入成功");
            }
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
            JdbcUtils.release(conn,st,rs);
        }
    }
}

到此這篇關(guān)于Java中的PreparedStatement對象使用解析的文章就介紹到這了,更多相關(guān)Java的PreparedStatement對象內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: