PreparedStatement:执行sql的对象
1. SQL注入问题:在拼接sql时,有一些sql的特殊关键字参与字符串的拼接。会造成安全性问题
1. 输入用户随便,输入密码:a' or 'a' = 'a
2. sql:select * from user where username = 'fhdsjkf' and password = 'a' or 'a' = 'a'
2. 解决sql注入问题:使用PreparedStatement对象来解决
3. 预编译的SQL:参数使用?作为占位符
4. 步骤:
1. 导入驱动jar包 mysql-connector-java-5.1.37-bin.jar
2. 注册驱动
3. 获取数据库连接对象 Connection
4. 定义sql
* 注意:sql的参数使用?作为占位符。 如:select * from user where username = ? and password = ?;
5. 获取执行sql语句的对象 PreparedStatement Connection.prepareStatement(String sql)
6. 给?赋值:
* 方法: setXxx(参数1,参数2)
* 参数1:?的位置编号 从1 开始
* 参数2:?的值
7. 执行sql,接受返回结果,不需要传递sql语句
8. 处理结果
9. 释放资源
5. 注意:后期都会使用PreparedStatement来完成增删改查的所有操作
1. 可以防止SQL注入
2. 效率更高
package cn.itheima.demo04.user;
import cn.itheima.demo03.utils.JDBCUtils;
import java.sql.*;
import java.util.Scanner;
public class PreparedStatementLogin {
public static void main(String[] args) {
Scanner sc = new Scanner(System.in);
String username = sc.next();
String password = sc.next();
if (new Login().login(username, password)) {
System.out.println("true");
} else {
System.out.println("false");
}
}
public boolean login(String username, String password) {
if (username == null && password == null) {
return false;
}
Connection conn = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
//连接数据库判断是否成功
try {
//1.获取连接
conn = JDBCUtils.getConnection();
//2.定义sql
String sql = "select * from user where username =? and password = ?";
//3.获取执行sql的对象
pstmt = conn.prepareStatement(sql);
//给问号赋值
pstmt.setString(1, username);
pstmt.setString(2, password);
//4.执行查询
rs = pstmt.executeQuery();
return rs.next();
} catch (SQLException e) {
e.printStackTrace();
} finally {
JDBCUtils.close(rs, pstmt, conn);
}
return false;
}
}