PreparedStatement用法詳解

/**
     * PrepareStatement 測試插入數據庫
     */
    /**
     * 如果使用Statement，那么就必須在SQL語句中，實際地去嵌入值，比如之前的insert語句
     *
     * 但是這種方式有一個弊端，第一，是容易發生SQL注入，SQL注入，簡單來說，就是，你的網頁的用戶
     * 在使用，比如論壇的留言板，電商網站的評論頁面，提交內容的時候，可以使用'1 or 1'，諸如此類的
     * 非法的字符，然后你的后台，如果在插入評論數據到表中的時候，如果使用Statement，就會原封不動的
     * 將用戶填寫的內容拼接在SQL中，此時可能會發生對數據庫的意外的損壞，甚至數據泄露，這種情況就叫做
     * SQL注入
     *
     * 第二種弊端，就是性能的低下，比如insert into test_user(name,age) values('張三',25)
     * insert into test_user(name,age) values('李四',26)
     * 其實兩條SQL語句的結構大同小異，但是如果使用這種方式，在MySQL中執行SQL語句的時候，卻需要對
     * 每一條SQL語句都實現編譯，編譯的耗時在整個SQL語句的執行耗時中占據了大部分的比例
     * 所以，Statement會導致執行大量類似SQL語句的時候的，性能低下
     *
     * 如果使用PreparedStatement，那么就可以解決上述的兩個問題
     * 1、SQL注入，使用PreparedStatement時，是可以在SQL語句中，對值所在的位置使用?這種占位符的
     * 使用占位符之后，實際的值，可以通過另外一份放在數組中的參數來代表。此時PreparedStatement會對
     * 值做特殊的處理，往往特殊處理后，就會導致不法分子的惡意注入的SQL代碼失效
     * 2、提升性能，使用PreparedStatement之后，其實結構類似的SQL語句，都變成一樣的了，因為值的地方
     * 都會變成?，那么一條SQL語句，在MySQL中只會編譯一次，后面的SQL語句過來，就直接拿編譯后的執行計划
     * 加上不同的參數直接執行，可以大大提升性能
     */
    private static void preparedStatement() {
        // 總結一下JDBC的最基本的使用過程
        // 1、加載驅動類：Class.forName()
        // 2、獲取數據庫連接：DriverManager.getConnection()
        // 3、創建SQL語句執行句柄：Connection.createStatement()
        // 4、執行SQL語句：Statement.executeUpdate()
        // 5、釋放數據庫連接資源：finally，Connection.close()

        // 定義數據庫連接對象
        // 引用JDBC相關的所有接口或者是抽象類的時候，必須是引用java.sql包下的
        // java.sql包下的，才代表了java提供的JDBC接口，只是一套規范
        // 至於具體的實現，則由數據庫驅動來提供，切記不要引用諸如com.mysql.jdbc包的類
        Connection conn=null;
        //定義SQL語句執行句柄:PrepareStatement對象
        //PreparedStatement對象,其實就是底層會基於Connection數據庫連接
        //可以讓我們方便的針對數據庫中的表,執行增刪改查的SQL語句
        //比如和insert update delete和select語句
        PreparedStatement ps=null;
        try {
            // 第一步，加載數據庫的驅動，我們都是面向java.sql包下的接口在編程，所以
            // 要想讓JDBC代碼能夠真正操作數據庫，那么就必須第一步先加載進來你要操作的數據庫的驅動類
            // 使用Class.forName()方式來加載數據庫的驅動類
            // Class.forName()是Java提供的一種基於反射的方式，直接根據類的全限定名（包+類）
            // 從類所在的磁盤文件（.class文件）中加載類對應的內容，並創建對應的Class對象
            Class.forName("com.mysql.jdbc.Driver");
            // 獲取數據庫的連接
            // 使用DriverManager.getConnection()方法獲取針對數據庫的連接
            // 需要給方法傳入三個參數，包括url、user、password
            // 其中url就是有特定格式的數據庫連接串，包括“主協議:子協議://主機名:端口號//數據庫”
            conn = DriverManager.getConnection(
                    "jdbc:mysql://localhost:3306/spark_project?characterEncoding=utf8",
                    "root",
                    "root"
            );
            // 基於數據庫連接Connection對象，創建SQL語句執行句柄，Statement對象
            // prepareStatement對象，就是用來基於底層的Connection代表的數據庫連接
            // 允許我們通過java程序，通過prepareStatement對象，向MySQL數據庫發送SQL語句
            // 從而實現通過發送的SQL語句來執行增刪改查等邏輯
            // 第一個，SQL語句中，值所在的地方，都用問好代表
            String sql = "insert into user(name,age) values(?,?)";
            ps = conn.prepareStatement(sql);
            // 第二個，必須調用PreparedStatement的setX()系列方法，對指定的占位符設置實際的值
            ps.setString(1,"李四");
            ps.setInt(2,26);
            // Statement.executeUpdate()方法，就可以用來執行insert、update、delete語句
            // 返回類型是個int值，也就是SQL語句影響的行數
            // 第三個，執行SQL語句時，直接使用executeUpdate()即可，不用傳入任何參數
            int rtn = ps.executeUpdate();

            System.out.println("SQL語句影響了【" + rtn + "】行。");
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            try {
                // 最后一定要記得在finally代碼塊中，盡快在執行完SQL語句之后，就釋放數據庫連接
                if (ps != null){
                    ps.close();
                }
                if (conn !=null){
                    conn.close();
                }
            }catch (Exception e){
                e.printStackTrace();
            }
        }
    }
原文鏈接https://www.cnblogs.com/liang-chen/p/11969788.html