初级java面试题-什么是PreparedStatement？

什么是PreparedStatement？

在Java中，PreparedStatement是一种用于执行预编译SQL语句的对象。与传统的Statement对象相比，PreparedStatement不仅可以提高性能，还能有效防止SQL注入攻击。

为什么使用PreparedStatement？

1. 防止SQL注入：PreparedStatement将SQL语句和参数分开处理，避免了拼接SQL字符串的风险，从而有效防止SQL注入攻击。

2. 提高性能：PreparedStatement会对SQL语句进行预编译，在执行多次相同SQL语句时，可以复用编译后的SQL，提高执行效率。

3. 可读性和维护性：使用PreparedStatement可以使代码更加清晰和易于维护，因为它将SQL语句和参数分开，逻辑更加明确。

举个例子

假设你有一个用户登录的功能，需要查询数据库中的用户名和密码。使用PreparedStatement来实现这个功能：

1. 传统的Statement（存在SQL注入风险）：

   
   
   string username = "用户输入的用户名"; String password = "用户输入的密码"; String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sql);

2. 使用PreparedStatement（防止SQL注入）：

   
   
   String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setString(1, "用户输入的用户名"); pstmt.setString(2, "用户输入的密码"); ResultSet rs = pstmt.executeQuery();

在这个例子中，?是占位符，用来表示SQL语句中的参数。通过pstmt.setString(1, "用户输入的用户名")和pstmt.setString(2, "用户输入的密码")方法来设置具体的参数值。这样，SQL语句和参数是分开处理的，避免了拼接字符串的风险，从而防止了SQL注入。

使用PreparedStatement的步骤

1. 创建PreparedStatement对象：通过Connection.prepareStatement(sql)方法创建PreparedStatement对象。
2. 设置参数：使用pstmt.setXXX(index, value)方法设置SQL语句中的参数，index是参数的位置（从1开始），value是具体的参数值。
3. 执行查询或更新：使用pstmt.executeQuery()方法执行查询操作，或者使用pstmt.executeUpdate()方法执行更新操作。
4. 处理结果：处理查询结果（ResultSet）或更新结果。
5. 关闭资源：关闭PreparedStatement和其他相关资源。

总结

PreparedStatement是Java中用于执行预编译SQL语句的对象，具有防止SQL注入、提高性能和提高代码可读性等优点。通过使用PreparedStatement，可以更安全、高效地操作数据库。