Java JDBC 中的预处理语句

# 1. 引言

## 1.1 JDBC 简介

JDBC（Java Database Connectivity）是Java语言用于执行与数据库交互的API。它允许Java程序通过SQL语句访问和操作关系型数据库。

在Java中，与数据库交互需要使用JDBC驱动程序。JDBC驱动程序充当Java程序与数据库之间的连接器，负责将Java程序发出的SQL语句翻译为特定数据库能够理解的格式。

## 1.2 预处理语句的作用和优势

预处理语句是JDBC中执行SQL语句的一种方式。与普通的SQL语句相比，预处理语句具有以下优势：

- **提高性能**：预处理语句将SQL语句预编译到数据库中，让数据库可以重用执行计划，降低了每次执行SQL的开销，提高了查询性能。
- **防止SQL注入**：预处理语句使用参数化查询，可以防止恶意用户通过SQL注入攻击破坏数据库或获取敏感数据。
- **简化代码**：预处理语句通过设置参数值，将数据与SQL语句解耦，避免编写繁琐的SQL拼接代码。

在接下来的章节中，我们将详细介绍如何使用预处理语句，以及预处理语句的参数设置、执行和结果处理等相关内容。

# 2. 使用预处理语句

在 Java JDBC 中，预处理语句是一种预编译的 SQL 语句模板，可以带有一个或多个参数。它的主要优势在于提高了 SQL 语句的执行效率，并且可以有效防止 SQL 注入攻击。

#### 2.1 创建预处理语句对象

要使用预处理语句，首先需要通过连接对象创建预处理语句对象。以下是创建预处理语句对象的示例代码：

Connection connection = DriverManager.getConnection(url, username, password);
String sql = "SELECT * FROM users WHERE age > ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);

上面的代码片段中，我们通过 `connection.prepareStatement(sql)` 创建了一个预处理语句对象 `preparedStatement`，该对象使用了带有一个参数的 SQL 语句模板。

#### 2.2 设置参数

设置预处理语句对象的参数是非常重要的，它可以通过 `set` 方法来设置参数的值。例如：

preparedStatement.setInt(1, 18);

在这个例子中，我们设置了第一个参数的值为 18，这意味着在执行预处理语句时，将会替换 SQL 语句中的 `?` 为 18。

#### 2.3 执行预处理语句

一旦参数设置完毕，我们就可以执行预处理语句了。执行预处理语句的方式有两种，分别是 `executeQuery` 和 `executeUpdate`。`executeQuery` 用于执行查询语句，而 `executeUpdate` 用于执行更新、插入或删除语句。

ResultSet resultSet = preparedStatement.executeQuery();

在这个例子中，我们执行了一个查询语句，并将结果保存在 `resultSet` 中。

以上便是使用预处理语句的基本步骤，在接下来的章节中，我们将继续深入讨论预处理语句的参数设置、执行和结果处理。

# 3. 预处理语句的参数设置

在使用预处理语句时，我们需要设置参数来填充 SQL 查询或更新语句中的占位符。通过合理设置参数，可以避免 SQL 注入攻击，并且能够提高查询性能，更加灵活地操作数据库。

#### 3.1 参数类型和设置方法

在 Java JDBC 中，预处理语句提供了一系列 `set` 方法用于设置不同类型的参数，常见的方法包括：
- `setInt(int parameterIndex, int x)`: 设置整型参数
- `setString(int parameterIndex, String x)`: 设置字符串参数
- `setBoolean(int parameterIndex, boolean x)`: 设置布尔型参数
- `setDouble(int parameterIndex, double x)`: 设置双精度浮点型参数
- `setDate(int parameterIndex, Date x)`: 设置日期型参数
- `setTime(int parameterIndex, Time x)`: 设置时间型参数
- `setTimestamp(int parameterIndex, Timestamp x)`: 设置时间戳型参数

#### 3.2 参数设置的注意事项

在设置预处理语句的参数时，需要注意以下几点：
1. 参数索引从 1 开始，而不是从 0 开始。
2. 参数设置的顺序应与 SQL 查询或更新语句中占位符的顺序一致。
3. 参数设置时需要注意数据类型的匹配，避免出现类型转换错误。
4. 当参数值为 `null` 时，需要使用 `setNull(int parameterIndex, int sqlType)` 方法设置参数为空值。

通过合理设置参数，我们可以构建安全高效的预处理语句，提高数据库操作的灵活性和性能。

接下来，我们将通过具体的代码示例来演示如何设置预处理语句的参数。

# 4. 预处理语句的执行和结果处理

在使用预处理语句时，需要先执行它们，然后处理执行结果。下面将详细介绍如何执行预处理语句以及如何处理执行结果。

#### 4.1 执行预处理语句

执行预处理语句主要通过`execute()`方法来实现，该方法会将预处理语句发送给数据库执行。在执行之前，我们需要确保已经设置好了参数（如果有参数的话），然后调用`execute()`方法即可。

PreparedStatement pstmt = conn.prepareStatement(sql);
// 设置参数
pstmt.setXXX(1, value);
// 执行预处理语句
boolean executed = pstmt.execute();

在上述代码中，`setXXX()`方法用于设置参数的值，`execute()`方法会返