preparestatement

PreparedStatement 是 Java 中用于执行参数化 SQL 语句的接口。当我们使用 PreparedStatement 时，我们可以将 SQL 查询中的参数使用占位符 "?" 表示，然后在执行 SQL 语句之前，使用 setXXX() 方法为这些参数设置值。这种方式在处理 SQL 注入攻击时更加安全，并且可以提高 SQL 查询的执行效率。

PreparedStatement 接口的使用步骤如下：

1. 创建 PreparedStatement 对象，通过 Connection 对象的 prepareStatement() 方法实现。需要传入 SQL 查询语句作为参数。
2. 使用 setXXX() 方法设置占位符 "?" 所代表的参数值。setXXX() 方法的参数类型应该与 SQL 查询语句中的占位符类型一致。
3. 调用 PreparedStatement 对象的 execute() 或 executeQuery() 方法执行 SQL 查询语句。
4. 如果执行的是查询语句，可以通过 ResultSet 对象获取查询结果。

示例代码：

String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, "John");
pstmt.setString(2, "123456");
ResultSet rs = pstmt.executeQuery();
while (rs.next()) {
    // 处理查询结果
}

在上面的示例中，我们使用 PreparedStatement 对象执行了一个查询语句，并设置了两个参数的值。执行结果通过 ResultSet 对象获取并进行处理。