PreparedStatement的setObject作用是什么

这篇文章主要介绍了PreparedStatement的setObject作用是什么的相关知识，内容详细易懂，操作简单快捷，具有一定借鉴价值，相信大家阅读完这篇PreparedStatement的setObject作用是什么文章都会有所收获，下面我们一起来看看吧。

PreparedStatement的setObject作用

在了解setObject作用前讲解一下PreparedStatement这个接口，然后循序渐进从setXxx()方法讲解到setObject。

PreparedStatement

java.sql包中的PreparedStatement接口继承了Statement接口，PreparedStatement对象可以防止sql注入，而Statement不能防止sql注入，所以实际开发的时候千万不要使用Statement。

SQL注入：

比如我的SQL语句为：

select * from user where username =' zhangsan' username ' and password ='password ' ;

其中传入的参数为：username(用户名) 和 password(密码)。

恶意注入之前的含意是查询user表的所有字段，匹配条件是username和password跟数据表的某条数据完全匹配使得条件成立，换言之就是用户名和密码必须都为正确的才可以查询到数据。

恶意注入方式一：输入 username: 随意 password: ’ or ‘1’='1

select * from user where username ='xxxxx' and password ='xxx' or '1'='1';

and 优先级 执行 高于 or

恶意注入方式二、在SQL添加 – 是mysql的注释 用户名框：输入 zhangsan’ 空格–空格 password 随意输入即可

select * from user where username ='zhangsan' -- ' and password ='' ;

注意：以上的 zhangsan’ 空格–空格 中的zhangsan是数据库存在的

setObject

setObject就是给JDBC的SQL语句的占位符赋值的,即是下面的“？”

预编译的SQL：参数使用?作为占位符

注意：sql的参数使用？作为占位符。 如：

select * from user where username = ? and password = ?;

获取执行sql语句的对象 PreparedStatement Connection.prepareStatement(String sql)

给？赋值：（Xxx代表参数类型）

• 方法： setXxx(参数1,参数2)

• 参数1：？的位置编号 从1 开始

• 参数2：？的值

例如：

setString(1,"one")就是定义参数类型为String类型，然后给第一个？位置上赋值为one。

select * from user where username = 'one' and password = ?;

setInt(2,2)就是定义参数类型为Int类型，然后给第二个?的位置上赋值为2。

select * from user where username = 'one' and password = 2;

注意：setString定义为String类型就只能传String类型，也就是说定义什么类型就要传入什么类型。

重点来了

PreparedStatement的setObject的作用和setString的作用是一样的！

setObject的第一个参数是？的位置编号，第二个参数是Object类型，因为所有的类型默认继承object，这个时候参数就没有类型限制，你可以传入String类型或者Int类型…不需要手动设置传参类型。

例如：

setObject(1,"one")就是给第一个？位置上赋值为String类型的"one"。

select * from user where username = 'one' and password = ?;

setObject(2,2)就是给第二个?的位置上赋值为Int类型的2。

select * from user where username = 'one' and password = 2;

JDBC关于PreparedStatement.setObject的一些细节

JDBC中PreparedStatement.setObject（index，Object）方法，

1、index从1开始

2、在插入时间格式的字段时，此处的Object格式必须是java.sql.Date的对象

3、Oracle表中date格式可以表示年月日时分秒

4、从表中取出对象封装到JavaBean对象中，字段类型可以直接为java.util.Date 

关于“PreparedStatement的setObject作用是什么”这篇文章的内容就介绍到这里，感谢各位的阅读！相信大家对“PreparedStatement的setObject作用是什么”知识都有一定的了解，大家如果还想学习更多知识，欢迎关注亿速云行业资讯频道。