通过调用 Connection 对象的 createStatement() 方法创建该对象。该对象用于执行静态的 SQL 语句,并且返回执行结果。
    Statement 接口中定义了下列方法用于执行 SQL 语句:
    intexcuteUpdate(Stringsql):执行更新操作INSERT、UPDATE、DELETE
    ResultSet executeQuery(Stringsql):执行查询操作SELECT
    但是使用Statement操作数据表存在弊端:
    问题一:存在拼串操作,繁琐
    问题二:存在SQL注入问题
    SQL 注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令(如:SELECT user, password FROM user_table WHERE user=‘a’ OR 1 = ’ AND password = ’ OR ‘1’ = ‘1’) ,从而利用系统的 SQL 引擎完成恶意行为的做法。
    对于 Java 而言,要防范 SQL 注入,只要用 PreparedStatement(从Statement扩展而来) 取代 Statement 就可以了。
    数据库内容:
    image.pngimage.png