这篇博客介绍了JDBC中的Statement对象,用于在数据库连接上执行SQL语句。通过Connection的createStatement方法创建Statement,它提供了excuteQuery和excuteUpdate方法执行查询和更新操作。然而,使用字符串拼接SQL存在SQL注入攻击风险。文章提到了SQL注入攻击的原理,建议通过预编译的PreparedStatement来防范此类攻击。
JDBC之创建Statement
创建Statement
Statement用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象只能执行不带参数的简单SQL语句。
通过调用 Connection 对象的 createStatement 方法创建该对象,该对象用于执行静态的 SQL 语句,并且返回执行结果。
Java代码:
Statement statement = connection.createStatement();
执行SQL语句
Statement 接口中定义了下列方法用于执行 SQL 语句:
- ResultSet excuteQuery(String sql),用于执行查询语句,返回值是查询结果集;
- int excuteUpdate(String sql),用于执行包括增删改在内的更新语句,返回值是更新语句影响的行数;
String sql = "upd
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
