PreparedStatement 作用:
1.预编译sql语句并执行:预防sql注入问题
·sql注入
sql注入是通过操作输入来修改事先定义好的sql语句,用以执行代码来对服务器进行攻击的方法
写法:
String sql = " select * from user where username = ? and password = ?";//注意参数要写成问号。
PreparedStatement pstmt = conn.prepareStatement(sql); // conn是获取的数据库连接.
setInt(参数1,参数2):给?赋值
参数1是编号 ,参数2是值。
执行sql.
executeQuery();//查询用
executeUpdate();其他功能用
标签:PreparedStatement,--,API,参数,sql,JDBC,conn From: https://www.cnblogs.com/sxwgzx23/p/17299005.html