3.0 PreparedStatement

当使用statement , 假设有登录案例SQL语句如下:
SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码;

此时，当用户输入正确的账号与密码后，查询到了信息则让用户登录。

但是当用户输入的账号为XXX 密码为：XXX’ OR ‘a’=’a时，则真正执行的代码变为：

SELECT * FROM 用户表 WHERE NAME = ‘XXX’ AND PASSWORD =’ XXX’  OR ’a’=’a’;

此时，上述查询语句时永远可以查询出结果的。那么用户就直接登录成功了，显然我们不希望看到这样的结果，这便是SQL注入问题。
为此，我们使用PreparedStatement来解决对应的问题。

**

3.1 预处理对象（PreparedStatement）

**
1.使用PreparedStatement预处理对象时，建议每条sql语句所有的实际参数，都使用逗号分隔。
该接口的实现类也在数据库驱动程序中。
String sql = “insert into sort(sid,sname) values(?,?)”;//问号表示占位符
//PreparedStatement预处理对象代码：
PreparedStatement psmt = con.prepareStatement(sql)
// 通过Connection对象的 prepareStatement方法，SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。

常用方法：

1.执行SQL语句:

2.设置实际参数
void setXxx(int index, Xxx xx) 将指定参数设置为给定Java的xx值。在将此值发送到数据库时，驱动程序将它转换成一个 SQL Xxx类型值。

例如：
setString(2, “家用电器”) 把SQL语句中第2个位置的占位符？ 替换成实际参数 “家用电器”

完整代码：
String sql = “insert into sort(sid,sname) values(?,?)”;
PreparedStatement psmt = con.prepareStatement(sql);
Psmt.setObject(1, “007”);
Psmt.setObject(2, “家用电器”);

3.ResultSet

4.ResultSetMetaData

**

3.2 executeUpdate方法

**
通过预处理对象的executeUpdate方法，完成记录的insert\update\delete语句的执行。
操作格式统一如下：
1. 注册驱动
2. 获取连接
3. 获取预处理对象
4. SQL语句占位符设置实际参数
5. 执行SQL语句
6. 释放资源

1.创建样本表

我们将使用JDBC对分类表进行增删改查操作。
#创建数据库
create database JDBC;
#使用数据库
use JDBC;
###创建分类表
create table sort(
sid int PRIMARY KEY ,
sname varchar(100)
);
#初始化数据
insert into sort(sname) values(‘家电’);
insert into sort(sname) values(‘服饰’);
insert into sort(sname) values(‘化妆品’);

2.插入记录：insert

实现向分类表中插入指定的新分类

public void demo01() throws Exception {
		// 1注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2获取连接
	Connection conn=   DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root","161028");
		// 3获得预处理对象
		String sql = "insert into sort(sname) values(?)";
		PreparedStatement stat = conn.prepareStatement(sql);
		// 4 SQL语句占位符设置实际参数
		stat.setString(1, "奢侈品");
		// 5执行SQL语句
		int line = stat.executeUpdate();
		System.out.println("新添加记录数：" + line);
		// 6释放资源
		stat.close();
		conn.close();
	}

3.更新记录：update

实现更新分类表中指定分类ID所对应记录的分类名称

public void demo02() throws Exception {
		// 1注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2获取连接
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
		// 3获得预处理对象中
		String sql = "update sort set sname=? where sid=?";
		PreparedStatement stat = conn.prepareStatement(sql);
		// 4 SQL语句占位符设置实际参数
		stat.setString(1, "数码产品");
		stat.setInt(2, 1);
		// 5执行SQL语句
		int line = stat.executeUpdate();
		System.out.println("更新记录数：" + line);
		// 6释放资源
		stat.close();
		conn.close();
	}

4.删除记录：delete

实现删除分类表中指定分类ID的记录

	public void demo03() throws Exception {
		// 1注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2获取连接
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
		// 3获得预处理对象
		String sql = "delete from sort where sid=?";
		PreparedStatement stat = conn.prepareStatement(sql);
		// 4 SQL语句占位符设置实际参数
		stat.setInt(1, 1);
		// 5执行SQL语句
		int line = stat.executeUpdate();
		System.out.println("删除记录数：" + line);
		// 6释放资源
		stat.close();
		conn.close();
	}

**

3.3 executeQuery方法

**
通过预处理对象的executeQuery方法，完成记录的select语句的执行。操作格式统一如下：
1. 注册驱动
2. 获取连接
3. 获取预处理对象
4. SQL语句占位符设置实际参数
5. 执行SQL语句
6. 处理结果集(遍历结果集合)
7. 释放资源

查询记录：select

实现查询分类表所有记录

public void demo04() throws Exception {
		// 1注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2获取连接
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
		// 3获得预处理对象
		String sql = "select * from sort";
		PreparedStatement stat = conn.prepareStatement(sql);
		// 4 SQL语句占位符设置实际参数(无)
		// 5执行SQL语句
		ResultSet rs = stat.executeQuery();
		// 6处理结果集(遍历结果集合)
		while( rs.next() ){
			//获取当前行的分类ID。
			//ResultSet 对象以逻辑表格的形式封装了执行数据库操作的结果集
			String sid = rs.getString("sid");//方法参数为数据库表中的列名
			//获取当前行的分类名称
			String sname = rs.getString("sname");
			//显示数据
			System.out.println(sid+"-----"+sname);
		}
		// 7释放资源
		rs.close();
		stat.close();
		conn.close();
	}

实现查询分类表中指定分类名称的记录

public void demo05() throws Exception {
		// 1注册驱动
		Class.forName("com.mysql.jdbc.Driver");
		// 2获取连接
		Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydb", "root", "root");
		// 3获得预处理对象
		String sql = "select * from sort where sname=?";
		PreparedStatement stat = conn.prepareStatement(sql);
		// 4 SQL语句占位符设置实际参数
		stat.setString(1, "奢侈品");
// 5执行SQL语句
		ResultSet rs = stat.executeQuery();
		// 6处理结果集(遍历结果集合)
		while( rs.next() ){
			//获取当前行的分类ID
			String sid = rs.getString("sid");//方法参数为数据库表中的列名
			//获取当前行的分类名称
			String sname = rs.getString("sname");
			//显示数据
			System.out.println(sid+"-----"+sname);
		}
		// 7释放资源
		rs.close();
		stat.close();
		conn.close();
	}