JavaEE学习中，PreparedStatement 的简单使用 和 介绍（java 学习中的小记录）

JavaEE学习中，PreparedStatement的简单使用和介绍（java 学习中的小记录）作者：王可利（Star·星星）

PreparedStatement

它是 Statement 的子类，分支。PreparedStatement 继承于 Statement

数据库情况如图：

帐号：liubei

密码：123

先看代码演示问题所在：

package TwoDay;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;
import java.util.Scanner;

public class StarOne {
    public static void main(String[] args){
        Connection conn = null;
        Statement stmt = null;
        ResultSet rs  = null;
        
        //根据控制台提示输入用户名和密码
        Scanner input = new Scanner(System.in);
        
        System.out.println("	宠物主人登录");
        System.out.println("请输入用户名：");
        String name =input.next();
        System.out.println("请输入密码：");
        String password =input.next();
        
        try {
            Class.forName("com.mysql.jdbc.Driver");
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/starstudy", "root", "123456");
            stmt = conn.createStatement();
            String sql = "SELECT *FROM `master` WHERE `name`= '"+name+"' AND `password`='"+password+"'";//加入参数的时候是:'"+变量+"'
            System.out.println(sql);
            //发现问题，把输入的密码注入到这个 sql语句里面去了，如：我输入的密码是：123'or'1'='1'   
            //sql的语句就变成  :   SELECT *FROM `master` WHERE `name`= 'liubei' AND `password`='123'or'1'='1'
            //这种现象我们都叫做 使用Statment安全性差，存在SQL注入隐患（原因他用的是拼装的语句）
            
            rs = stmt.executeQuery(sql);
            if (rs.next()) {
                System.out.println("登陆成功！");
            }else{
                System.out.println("登录失败！");
            }
            
        } catch (Exception e) {
            // TODO: handle exception
        }finally{
            try {
                if (null!=rs) {
                    rs.close();
                }
                if (null!=stmt) {
                    stmt.close();
                }
                if (null!=conn) {
                    conn.close();
                }
            } catch (Exception e2) {
                // TODO: handle exception
            }
        }
    }
}

 

出错总结：

如：当我输入的密码是：123'or'1'='1'   ，它把输入的密码注入到这个 sql语句里面去了

于是  SQL的语句就变成  :   SELECT *FROM `master` WHERE `name`= 'liubei' AND `password`='123'or'1'='1'

程序运行成功，'1'='1' 是默认一定成立的。

这种现象我们都叫做 使用 Statment 安全性差，存在SQL注入隐患（原因它用的是拼装的语句）

于是就有了 PreparedStatement 用来解决这个问题：

PreparedStatement 的使用步骤实例：

代码的使用如下：

package TwoDay;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;

public class StarTwo {
    public static void main(String[] args){
        Connection conn = null;
        PreparedStatement pstmt= null;
        
        String sql = "UPDATE pet SET health=?,love=? WHERE id=?";//不知道的都给他占位符 问号？
        
        try {
            Class.forName("com.mysql.jdbc.Driver");
            conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/starstudy", "root", "123456");
            pstmt = conn.prepareStatement(sql);//执行SQL语句，预编译
            
            pstmt.setInt(1,1234); //这里第几个问号 就是 第几个索引（第一个参数）
            pstmt.setInt(2, 88);
            pstmt.setInt(3, 2);
            
            pstmt.executeUpdate();//修改的方法
            
        } catch (Exception e) {
            
        }finally{
            try {
                if (null!=pstmt) {
                    pstmt.close();
                }
                if (null!=conn) {
                    conn.close();
                }
            } catch (Exception e2) {                
            }
        }
    }
}