JDBC03 Statement接口

Statement接口

用于执行静态SQL语句并返回它所生成结果的对象

三种Statem类

Statement：由createStatement创建，用于发送简单的SQL语句（不带参数的），会有SQL注入的风险

PreparedStatement：继承自Statement接口，由prepareStatement创建，用于发送含有一个或多个输入参数的sql语句。PreparedStatement对象比Statement对象的效率高，并且可以防止SQL注入

CallableStatement：继承自PreparedStatement,由方法prePareCall创建，用于调用存储过程

常用方法Statement方法：

execute():运行语句，返回是否由结果集

executeQuery():运行select语句，返回ResultSet结果集

executeUpdate():运行insert/update/delete操作，返回更新的行数

测试Statement及SQL注入

try {
            Class.forName("com.mysql.cj.jdbc.Driver");
            //建立连接：非常耗时，真正开发中使用连接池管理连接
            Connection conn=DriverManager.getConnection("jdbc:mysql://localhost:3306/testjdbc?&useSSL=false&serverTimezone=UTC"
                    ,"root","***");
            Statement sts=conn.createStatement();
//            String sql="insert into t_user (username,pwd,regTime) values ('赵六',666666,now())";
//            sts.execute(sql);
            //测试SQL注入
            String id="5 or 1=1";
            String sql="delete from t_user where id="+id;
            sts.execute(sql);
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        }
    }