PreparedStatement和Statement

最新推荐文章于 2024-07-27 14:38:28 发布

WolfArya

最新推荐文章于 2024-07-27 14:38:28 发布

阅读量289

点赞数

分类专栏： Mysql JavaWeb 文章标签： mysql JavaWeb

本文链接：https://blog.csdn.net/github_36301064/article/details/53509885

版权

JavaWeb 同时被 2 个专栏收录

28 篇文章 0 订阅

订阅专栏

Mysql

5 篇文章 0 订阅

订阅专栏

关于PreparedStatement和Statement~

Statement：Statement 是 Java 执行数据库操作的一个重要接口，用于在已经建立数据库连接的基础上，向数据库发送要执行的SQL语句。Statement对象，用于执行不带参数的简单SQL语句。

PreparedStatement：PreparedStatement是Statement接口的子接口，那么，相较于Statement，它有哪些优势呢？

（1）防SQL攻击；

（2）提高代码的可读性，可维护性；

（3）可以提高效率；

防SQL攻击

一个登录事件；

如果用Statement来实现，sql语句为：

String sql = "SELECT * FROM user WHERE " + "username='" + username + "' and password='" + password + "'"；

那么当执行executeQuery(sql)时，如果用户传入的username ，password 是"a' or 'a'='a"和"a' or 'a'='a"，这时会通过的，那么就被攻击了，怎么解决呢？用PreparedStatement！

如果用PreparedStatement来实现，sql语句为：

String sql = "SELECT * FROM user WHERE username=？and password=？" ；

执行prepareStatement(sql)；然后再设置参数，setString(1, “name”)；setString(1, “word”)；这样，就不会产生Statement的错误了。

效率的提高

在使用Connection创建PreparedStatement对象时需要给出一个SQL模板，所谓SQL模板就是有“？”的SQL语句，其中“？”就是参数。在得到PreparedStatement对象后，调用它的setXXX()方法为“？”赋值，这样就可以得到把模板变成一条完整的SQL语句，然后再调用PreparedStatement对象的executeQuery()方法获取ResultSet对象。注意PreparedStatement对象独有的executeQuery()方法是没有参数的，而Statement的executeQuery()是需要参数（SQL语句）的。因为在创建PreparedStatement对象时已经让它与一条SQL模板绑定在一起了，所以在调用它的executeQuery()和executeUpdate()方法时就不再需要参数了。PreparedStatement最大的好处就是在于重复使用同一模板，给予其不同的参数来重复的使用它。这才是真正提高效率的原因。

可能一开始接触的是Statement，但是越用你就会觉得PreparedStatement要好，所以建议大家还是用PreparedStatement。