Statement执行不带参数的SQL语句并返回结果集,每次执行SQL都需要编译SQL。
PreparedStatement执行带参数的预编译的SQL语句。
CallableStatement用来实现调用数据库存储过程的接口。由prepareCall()方法创建。
PreparedStatement在建立状态时,填上SQL命令的字符串。执行SQL时只填上参数,无需再指明SQL语句。一个PrepareStatement只对应一条带参SQL语句。
import java.sql.*;
public class Main{
public static void main(String[] args) throws ClassNotFoundException, SQLException{
String driverName="com.mysql.jdbc.Driver";
String url="jdbc:mysql://localhost:3306/Test";
String user="usr1";
String password="passwwd";
Class.forName(driverName);
Connection conn=DriverManager.getConnection(url,user,password);
PreparedStatement stmt=conn.prepareStatement("SELECT * FROM Employees WHERE id=?");
stmt.setInt(1, 1);
ResultSet rs=stmt.executeQuery();
while(rs.next())
System.out.println(rs.getInt(1)+" "+rs.getString(2)+" "+rs.getInt(3));
if(rs!=null) rs.close();
if(stmt!=null) stmt.close();
if(conn!=null) conn.close();
}
}
PreparedStatement相较于Statement的优点是预编译和解析的SQL执行效率更高,代码的可读性强且可维护性好,安全性好。
所谓安全性指PreparedStatement能防止SQL注入攻击。SQL注入攻击指把SQL语句插入到Web表单、输入域名、页面请求的查询字符串,达到恶意执行SQL的目的。由于SQL注入只对SQL的编译过程有破坏作用,因而不会对预编译的PreparedStatement造成破坏作用。