Statement和PrepareStatement区别
Statement
和 PreparedStatement
是 Java 中用于执行 SQL 语句的两个接口,它们在功能和使用上有一些显著的区别。以下是两者的主要区别和各自的特点:
Statement
-
用途:
Statement
对象用于执行静态的 SQL 查询,即每次执行的 SQL 语句都是完整的,直接作为字符串传递。
-
创建方式:
Statement stmt = connection.createStatement();
-
执行 SQL 语句:
-
可以执行
SELECT
、INSERT
、UPDATE
、DELETE
等 SQL 语句。 -
例如:
String sql = "SELECT * FROM users"; ResultSet rs = stmt.executeQuery(sql);
-
-
缺点:
- 每次执行 SQL 语句时,SQL 语句都会被数据库解析和编译,效率较低。
- 存在 SQL 注入风险,因为 SQL 语句和参数是混合在一起的。
PreparedStatement
-
用途:
PreparedStatement
对象用于执行预编译的 SQL 语句。SQL 语句在执行之前会先被数据库预编译,然后可以多次执行,提高了效率。
-
创建方式:
String sql = "SELECT * FROM users WHERE id = ?"; PreparedStatement pstmt = connection.prepareStatement(sql);
-
设置参数:
-
可以使用占位符(
?
)来表示 SQL 语句中的参数,并在执行之前设置这些参数。 -
例如:
pstmt.setInt(1, userId); ResultSet rs = pstmt.executeQuery();
-
-
执行 SQL 语句:
-
可以执行
SELECT
、INSERT
、UPDATE
、DELETE
等 SQL 语句。 -
例如:
String insertSql = "INSERT INTO users (name, email) VALUES (?, ?)"; PreparedStatement insertPstmt = connection.prepareStatement(insertSql); insertPstmt.setString(1, "John"); insertPstmt.setString(2, "john@example.com"); insertPstmt.executeUpdate();
-
-
优点:
- 提高了执行效率,因为 SQL 语句只编译一次,可以多次执行。
- 减少了 SQL 注入风险,因为参数是通过方法设置,不直接拼接在 SQL 语句中。
主要区别总结
- SQL 语句编译:
Statement
每次执行 SQL 语句时都需要编译。PreparedStatement
预编译 SQL 语句,一次编译可以多次执行。
- 参数化查询:
Statement
直接将参数拼接在 SQL 语句中,容易导致 SQL 注入。PreparedStatement
使用占位符设置参数,更安全。
- 执行效率:
Statement
效率较低,因为每次执行都要重新解析和编译 SQL 语句。PreparedStatement
效率较高,因为 SQL 语句只编译一次,可以多次执行。
- 防止 SQL 注入:
Statement
容易受到 SQL 注入攻击。PreparedStatement
通过使用占位符和参数设置,防止 SQL 注入。