今天的内容:
学习了PrepareStatement类的用法:
优点:
- 简化Statement中的操作
- 提高执行语句的性能
- 可读性和可维护性更好
- 安全性更好。
使用PreparedStatement能够预防SQL注入攻击,所谓SQL注入,指的是通过把SQL命令插入到Web表单提交或者输入域名或者页面请求的查询字符串,最终达到欺骗服务器,达到执行恶意SQL命令的目的。注入只对SQL语句的编译过程有破坏作用,而执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,因此也就避免了类似select * from user where name='aa' and password='bb' or 1=1的sql注入问题的发生。
PreparedStatement有两个潜在的重用(复用)级别。
- JDBC驱动程序重新使用PreparedStatement。
- 数据库重用PreparedStatement。
问题:无
明天的打算:学习JavaWeb的知识