JDBC使用PreparedStatement操作数据库

1、以前使用Statement操作数据库需要进行SQL拼接，既不方便也存在安全漏洞，而PreparedStatement 执行的是预编译的SQL，有效的防止了SQL注入，而且提交了效率，也使得代码可读性提高，所以通常编程时，我们使用PreparedStatement来进行SQL操作

2、首先创建PreparedStatement.java

3、输入如下代码

4、在main方法中进行测试

5、测试结果如下：

6、我执行了一条插入操作，所以数据库中多了一条记录

7、需要特别说明的是createDate字段，

因为PreparedStatement使用的都是java.sql.PreparedStatement 中的对象，当它setDate的时候，参数也是java.sql.Date;对象

8、而java.sql.Date;当中的构造方法需要传入一个long的毫秒值

9、而java.util.Date的getTime()方法能返回这个毫秒值，

所以使用了new Date(new java.util.Date().getTime())

10、同样的，我们继续更新JdbcTools.java工具类，增加PreparedStatement的通用Update 方法

11、注意，这里的参数使用的是可变参数！