java 预编译sql_JDBC编程之预编译SQL与防注入

在JDBC编程中，常用Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句，其中 Statement 用于通用查询， PreparedStatement 用于执行参数化查询，而 CallableStatement则是用于存储过程。

1、Statement

该对象用于执行静态的 SQL 语句，并且返回执行结果。 此处的SQL语句必须是完整的，有明确的数据指示。查的是哪条记录？改的是哪条记录？都要指示清楚。

通过调用 Connection 对象的 createStatement 方法创建该对象

查询：ResultSet excuteQuery(String sql)——返回查询结果的封装对象ResultSet. 用next()遍历结果集，getXX()获取记录数据。

修改、删除、增加：int excuteUpdate(String sql)——返回影响的数据表记录数.

2、PreparedStatement

SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。

可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象

PreparedStatement 对象所执行的 SQL 语句中，参数用问号(?)来表示，调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数，第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始)，第二个是设置的 SQL 语句中的参数的值，注意用setXXX方式设置时，需要与数据库中的字段类型对应，例