PreparedStatement对象执行sql的步骤

PreparedStatement:执行sql的对象
        1. SQL注入问题:在使用Statement拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题
            1. 输入用户随便,输入密码:a' or 'a' = 'a
            2. sql:select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a' 

        2. 解决sql注入问题:使用PreparedStatement对象来解决
        3. 预编译的SQL:参数使用?作为占位符
        4. 步骤:
            1. 导入驱动jar包 mysql-connector-java-5.1.37-bin.jar
            2. 注册驱动
            3. 获取数据库连接对象 Connection
            4. 定义sql
                * 注意:sql的参数使用?作为占位符。 如:select * from user where username = ? and password = ?;
            5. 获取执行sql语句的对象 PreparedStatement  Connection.prepareStatement(String sql) 
            6. 给?赋值:
                * 方法: setXxx(参数1,参数2)
                    * 参数1:?的位置编号 从1 开始
                    * 参数2:?的值
            7. 执行sql,接受返回结果,不需要传递sql语句
            8. 处理结果
            9. 释放资源

你可能感兴趣的:(PreparedStatement对象执行sql的步骤)