javaweb_day7(JDBC)prepareStatement防止sql注入

prepareStatement防止sql注入

【步骤】

1.注册驱动
2.获取连接
3.编写sql语句
4.创建执行sql语句对象
5.设置参数
6.执行sql语句
7.释放资源

---

【代码案例】保存操作

    @Test
    /**
     * 保存操作
     */
    public void demo1(){
        Connection conn = null;
        PreparedStatement pstmt = null;
        try{
            // 获得连接:
            conn = JDBCUtils.getConnection();
            // 编写SQL语句:
            String sql = "insert into user values (null,?,?,?,?)";
            // 预编译SQL:
            pstmt = conn.prepareStatement(sql);
            // 设置参数:
            pstmt.setString(1, "eee");
            pstmt.setString(2, "abc");
            pstmt.setString(3, "旺财");
            pstmt.setInt(4, 32);
            // 执行SQL
            int num = pstmt.executeUpdate();
            if(num > 0){
                System.out.println("保存成功！");
            }
        }catch(Exception e){
            e.printStackTrace();
        }finally{
            JDBCUtils.release(pstmt, conn);
        }
    }

【说明】
以上代码和statement执行sql语句对象是一样的。