1.Statrment存在的问题:
存在sql注入问题:拼接sql时,有一些sql的特殊关键字符与字符串的拼接,会造成的安全性问题,如 任意用户,输入密码:a’ or ‘a’ = 'a,存在恒等式,不能判断有错误。
2.解决办法:
引入prepareStatement对象。
3.使用区别:
定义sql语句时使用占位符?来代替具体数据;
执行sql语句前需要填充占位符。
//2.定义sql
String sql = "select * from user where username = ? and password = ?";
//3.获取执行sql语句的对象PrepareStatement
PrepareStatement preparedStatement = connection.prepareStatement(sql);
//4.填充占位符
preparedStatement.setString(1,username);
preparedStatement.setString(2,password);
//5.执行sql
resultSet = preparedStatement.executeQuery();
最后
以上就是孝顺小懒猪最近收集整理的关于JDBC入门(二):PrepareStatement对象的全部内容,更多相关JDBC入门(二)内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复