WHY?

  <1>使用Statement需要进行拼写SQL语句,容易出错;
  <2>PreparedStatement:是Statement的子接口,可以传入带占位符的SQL语句,并且提供了补充占位符变量的方法。

  <3>有效的防止SQL注入

    SQL注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的SQL语句段或命令从而利用系统的SQL引擎完成恶意行为的做法;对于java而言要防范SQL注入,只要用PreparedStatement取代Statement就可以了。

  SQL注入的实现:

    String username="a' or password= ";
      String password=" or '1'='1";
      String SQL="select * from users where username='"+username+"' and password='"+password+"'";

  <4>PreparedStatement能最大可能提高性能:

    ---DBServer会对预编译语句提供性能优化。因为预编译语句可能重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,下次调用时只要是相同的预编译语句就不需要编译,只要将参数直                 接传入编译过的语句执行代码中就会得到执 行。

    ---在Statement语句中,即使是相同的操作但因为数据内容的不一样所以整个语句本身不能匹配,没有缓存语句的意义。事实是没有数据库会对普通语句编译后的执行代码缓存,这样每执行一次都要对传入

的语句进行一次编译。

    ---语法检查、语义检查、翻译成二进制命令,缓存。

@Test
 public void testPreparedStatement(){
  
    Student stu=null;
    Connection conn=null;
    PreparedStatement ps=null;
  
    try {
       conn=JDBCTools.getConnection();
       String sql="insert into customers (name,email,birth) "
         + "values(?,?,?)";
       ps=conn.prepareStatement(sql);

     //设置占位符的值
       ps.setString(1, "kk");
       ps.setString(2, "123@。com");
       ps.setDate(3, new Date(new java.util.Date().getTime()));
       ps.executeUpdate();
    } catch (Exception e) {
       e.printStackTrace();
    }finally{
       JDBCTools.release(null, ps, conn);
    }
 }

修改后的更新语句方法:

@Test
 public void testPreparedStatement(){
  
    Student stu=null;
   
    String sql="insert into customers (name,email,birth) "
         + "values(?,?,?)";
    JDBCTools.update(sql, "mx","123@。com",new Date(new java.util.Date().getTime()));
 }

JDBCTools.java  修改后的工具类

import java.io.InputStream;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import java.util.Properties;

public class JDBCTools {
 
 /*
  * 执行SQL的方法
  *   insert,update,delete
  * */
 public static void update(String sql,Object...args){
  
  Connection conn=null;
  PreparedStatement ps=null;
  
  try {
   /*
    * 1、获取Connection连接
    * 2、获取Statement
    * 3、SQL语句
    * 4、关闭数据库连接
    *
    * */
   conn=getConnection();
   ps=conn.prepareStatement(sql);
   
   for (int i = 0; i < args.length; i++) {
    ps.setObject(i+1, args[i]);
   }
   
   ps.executeUpdate();
   
   
  } catch (Exception e) {
   e.printStackTrace();
  }finally{
   release(null,ps, conn);
  }
 }

public static Connection getConnection() throws Exception {

String driverClass = null;
  String jdbcUrl = null;
  String user = null;
  String password = null;

// 读取类路径下的jdbc.properties文件
  InputStream in = JDBCTools.class.getClassLoader().getResourceAsStream("jdbc.properties");
  Properties properties = new Properties();
  properties.load(in);

driverClass = properties.getProperty("driver");
  jdbcUrl = properties.getProperty("jdbcUrl");
  user = properties.getProperty("user");
  password = properties.getProperty("password");
  // 加载数据库驱动程序
  Class.forName(driverClass);
  // 通过DriverManager的getConnection()方法获取数据库连接
  Connection connection = DriverManager.getConnection(jdbcUrl, user, password);
  return connection;

}
  
 public static void release(ResultSet rs,Statement st,Connection conn){
  
  if (rs!=null) {
   try {
    rs.close();
   } catch (SQLException e) {
    e.printStackTrace();
   }
  }
  
  if (st!=null) {
   try {
    st.close();
   } catch (SQLException e) {
    e.printStackTrace();
   }
  }
  
  if (conn!=null) {
   try {
    conn.close();
   } catch (SQLException e) {
    e.printStackTrace();
   }
  }
 }
}

<四>JDBC_PreparedStatement的使用的更多相关文章

  1. 构建一个基本的前端自动化开发环境 —— 基于 Gulp 的前端集成解决方案(四)

    通过前面几节的准备工作,对于 npm / node / gulp 应该已经有了基本的认识,本节主要介绍如何构建一个基本的前端自动化开发环境. 下面将逐步构建一个可以自动编译 sass 文件.压缩 ja ...

  2. 《Django By Example》第四章 中文 翻译 (个人学习,渣翻)

    书籍出处:https://www.packtpub.com/web-development/django-example 原作者:Antonio Melé (译者注:祝大家新年快乐,这次带来<D ...

  3. 如何一步一步用DDD设计一个电商网站(四)—— 把商品卖给用户

    阅读目录 前言 怎么卖 领域服务的使用 回到现实 结语 一.前言 上篇中我们讲述了“把商品卖给用户”中的商品和用户的初步设计.现在把剩余的“卖”这个动作给做了.这里提醒一下,正常情况下,我们的每一步业 ...

  4. 从0开始搭建SQL Server AlwaysOn 第四篇(配置异地机房节点)

    从0开始搭建SQL Server AlwaysOn 第四篇(配置异地机房节点) 第一篇http://www.cnblogs.com/lyhabc/p/4678330.html第二篇http://www ...

  5. MVVM设计模式和WPF中的实现(四)事件绑定

    MVVM设计模式和在WPF中的实现(四) 事件绑定 系列目录: MVVM模式解析和在WPF中的实现(一)MVVM模式简介 MVVM模式解析和在WPF中的实现(二)数据绑定 MVVM模式解析和在WPF中 ...

  6. “四核”驱动的“三维”导航 -- 淘宝新UI(需求分析篇)

    前言 孔子说:"软件是对客观世界的抽象". 首先声明,这里的"三维导航"和地图没一毛钱关系,"四核驱动"和硬件也没关系,而是为了复杂的应用而 ...

  7. 【翻译】MongoDB指南/CRUD操作(四)

    [原文地址]https://docs.mongodb.com/manual/ CRUD操作(四) 1 查询方案(Query Plans) MongoDB 查询优化程序处理查询并且针对给定可利用的索引选 ...

  8. HTML 事件(四) 模拟事件操作

    本篇主要介绍HTML DOM中事件的模拟操作. 其他事件文章 1. HTML 事件(一) 事件的介绍 2. HTML 事件(二) 事件的注册与注销 3. HTML 事件(三) 事件流与事件委托 4.  ...

  9. 【原】AFNetworking源码阅读(四)

    [原]AFNetworking源码阅读(四) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 上一篇还遗留了很多问题,包括AFURLSessionManagerTaskDe ...

随机推荐

  1. 4、JavaScript

    一.JavaScript的概念:是基于对象和事件的脚本语言. 1.特点: a).安全性. b).跨平台性(只要可以解释JS的浏览器就可以执行,和平台无关) 2.JavaScript与Java的区别: ...

  2. FindWindowEx用法

    函数原型:HWND FindWindowEx(HWND hwndParent,HWND hwndChildAfter,LPCTSTR lpszClass,LPCTSTR lpszWindow): 参数 ...

  3. nyoj 623 A*B Problem II(矩阵)

    A*B Problem II 时间限制:1000 ms  |  内存限制:65535 KB 难度:1   描述 ACM的C++同学有好多作业要做,最头痛莫过于线性代数了,因为每次做到矩阵相乘的时候,大 ...

  4. HTML的初体验

    有话先说:记得初次接触HTML代码还是在两年多前的事情,那是只是凭着一时的兴趣.却不知一入HTML深似海,再见依旧还是兴趣或许就是美好生活的必备. 不用说的是HTML是制作网页,网站开发必须要掌握并学 ...

  5. 利用 autoconf 和 automake 生成 Makefile 文件

    一.相关概念的介绍 什么是 Makefile?怎么书写 Makefile?竟然有工具可以自动生成 Makefile?怎么生成啊?开始的时候,我有这么多疑问,所以,必须得先把基本的概念搞个清楚. 1.M ...

  6. 【Android学习】android:layout_weight的用法实例

    对于android:layout_weight的用法,用下面的例子来说明: <LinearLayout xmlns:android="http://schemas.android.co ...

  7. JavaScript 代码风格指南

    一.基本格式 缩进 建议每级4个空格,可以给编辑器设置tab = 4个空格,自动转换 分号 不要省略分号,防止ASI(自动插入分号)错误 行宽 每行代码不超过80个字符,过长应该用操作符手动断行 断行 ...

  8. ASP.NET Web API学习 (一)

    开发环境:win10,使用VS2015社区版和SQLSERVER2012开发 1.打开VS2015应用程序,点击左上角按钮:文件--新建--项目,弹出窗口中选择ASP.NET Web应用程序, 2.点 ...

  9. js 阻止事件冒泡

    function stopBubble(e) { //如果提供了事件对象,则这是一个非IE浏览器 if ( e && e.stopPropagation ) //因此它支持W3C的st ...

  10. php时区问题

    今天遇到一个很诡异的问题: 数据库中存的日期信息为时间戳,用php取出数据库中的日期信息,并用date()函数转化为“Y-m-d”后,发现和mysql格式化函数Date_Format()处理后的结果不 ...