com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException的异常
这个问题我以前也碰到过,今天在论坛看到一位提出来了,我就打算一篇博文来和大家分享一下。
首先,在我们用JDBC来操作数据库的时候,创建SQL语句通常有两种方式:Statement和PreparedStatement
讲到这个,不得不分析一下这两者之间的区别,因为面试的时候很多面试官在数据库方面的问题都会问的。
第一点:代码的可读性和可维护性
给大家举例应该就能明白了:
statement:
stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");
preparedStatement:
perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate();
虽然preparedStatement的方式比statement的方式多了一些代码,但是充分体现了可读性和可维护性
第二点:高性能
PrepareStatement会利用数据库的SQL共享来匹配sql语句,这样使得性能大大的提升。
第三点:安全性
这里涉及到的就是恶意的sql注入,最有代表的就是or 1=1。
Statement显然不能防住这种情况的发生,但是PrepareStatement使用存储过程来执行所有的查询操作,并且传递给PreparedStatement对象的参数可以被强制进行类型转换,使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException的异常
关于com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException的异常
首先我们检查一下sql语句是否正确
然后我们回到前面讲两者之间的区别,其实还有一点,很多朋友都没有注意看,不过您看看帮助文档就知道了。
那就是预编译操作的时候,方法中是不需要传入sql语句的参数了。
希望大家多多指点~