PreparedStatement是继承statement,一个preparedstatement是从java.sql.connection的sql语句中得到的,其中包含很多问号(?),代表变量的位置及变量的值,最后执行sql语句。
Eg:String sql="select * from student s where s.name=? and age=? and image=?";
PreparedStatement ps= connection.preparedStartement(sql);
ps.setInt(1,"张三");
ps.setInt(2,"21");
ps.setBinaryStream(3, inpurStream,fileName.size());
Resultset rs=ps.executequery();
当传入的是文件数据的时候调用该方法
Void setBinaryStream(int parameterIndex,InputStream x,int length);
使用preparedStatement的主要优点:
1.preparedStatement是实现的是预编译的,可以大大的提高效率。
数据库会对每一次执行的语句进行预编译,达到优化,因为预编译的语句可能被重复调用,所以语句被执行后就会被缓存下来,而Statement的语句中,每次传入的数据不一样,所以,数据库很难实现直接执行预编译的语句,比如intsert into students(name,age)values("张三",21);而用preparedStatement则可以利用问号代表的不同的数据,实现执行预编译。
2.提高代码的可读性和可维护性
3.提高代码的安全性
preparedStatement是怎么样提高代码的安全性呢?举个一个简单的例子
String sql ="select * from s_name where name=' "+varname+" ' and password=' " +pwd+" '";
这是一个通过验证访问表的数据库语句,但是如果传入的password数据是[ ' or '1'= ' 1 ] 则会出现什么效果
Sql="select * from s_name where name='任意' and pwd=' ' or '1' = '1' "; 可以不通过验证 任意访问。
一次preparedStatement可以提高代码的安全性。