Java & MySql - Как избежать запроса перед его выполнением

Question

Я использую Java для веб-приложения, и я работаю с базой данных MySql. Мне нужно избежать запроса перед его выполнением. Это мой фактический код:

db_result=mydb.selectQuery("SELECT nickname FROM users WHERE nickname='"+log_check_user+"' AND password='"+log_check_pass+"'"); 

public Vector selectQuery(String query) { 
    Vector v = null; 
    String [] record; 
    int colonne = 0; 
    try { 
    Statement stmt = db.createStatement(); 
    ResultSet rs = stmt.executeQuery(query); 
    v = new Vector(); 
    ResultSetMetaData rsmd = rs.getMetaData(); 
    colonne = rsmd.getColumnCount(); 

    while(rs.next()) { 
     record = new String[colonne]; 
     for (int i=0; i<colonne; i++) record[i] = rs.getString(i+1); 
     v.add((String[]) record.clone()); 
    } 
    rs.close(); 
    stmt.close(); 
    } catch (Exception e) { e.printStackTrace(); errore = e.getMessage(); } 

    return v; 
} 

Мне нужно это, как вы можете верить, чтобы избежать проблемы с внедрением SQL! Как мне это сделать?

Answer 1

Используйте prepared statement:

Иногда удобнее использовать PreparedStatement объект для отправки SQL заявления в базу данных. Это особый тип заявления является производным от более общего класса, Statement ...

Если вы хотите выполнить Statement объект много раз, как правило, сокращает время выполнения, чтобы использовать PreparedStatement объект вместо этого.

Основная особенность объекта PreparedStatement заключается в том, что в отличие от объекта Statement ему присваивается инструкция SQL при ее создании. Преимущество этого заключается в том, что в большинстве случаев этот оператор SQL сразу отправляется в СУБД, где он компилируется. В результате объект PreparedStatement содержит не только инструкцию SQL, но и оператор SQL, который был предварительно скомпилирован. Это означает, что когда выполняется PreparedStatement, СУБД может просто запустить инструкцию SQL PreparedStatement без необходимости ее компиляции сначала ...