JDBC中Statement、PreparedStatement和CallableStatement的使用

一、JDBC相关操作的接口和类

（一）JDBC相关操作的接口和类在java.sql包中：

1、Statement、PreparedStatement和CallableStatement都是接口(interface)。 

（二）Statement

1、Statement继承自Wrapper，Statement接口提供了执行语句和获取结果的基本方法； 

2、支持普通的不带参的查询SQL；

3、支持批量更新,批量删除; 

4、默认情况下，同一时间每个Statement对象只能打开一个Resultset对象

（三）PreparedStatement

1、PreparedStatement继承自Statement，PreparedStatement接口添加了处理 IN 参数的方法； 

注：用于设置 IN 参数值的设置方法（setShort、setString 等等）必须指定与输入参数的已定义 SQL 类型兼容的类型。例如，如果 IN 参数具有 SQL 类型 INTEGER，那么应该使用 setInt 方法。

2、可变参数的SQL,编译一次,执行多次,效率高; 

3、安全性好，有效防止Sql注入等问题; 

注意：防止sql注入：使用execute()方法类保证每次仅能执行一条语句，然后将数据项以参数的方式与SQL执行语句分离，避免SQL注入。

4、支持批量更新,批量删除; 

实例：

PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES SET SALARY = ? WHERE ID = ?")     
--con表示一个活动连接
pstmt.setBigDecimal(1, 153833.00) ；
pstmt.setInt(2, 110592)；

（四）CallableStatement

1、CallableStatement继承自PreparedStatement，CallableStatement接口添加了处理 OUT 参数的方法。 

2、主要用于处理存储过程的接口，继承自PreparedStatement,支持带参数的SQL操作; 

3、支持调用存储过程,提供了对输出和输入/输出参数(INOUT)的支持;

二、Statement和PreparedStatement比较

1、Statement每次执行sql语句，数据库都要执行sql语句的编译 ， 最好用于仅执行一次查询并返回结果的情形，效率高于PreparedStatement。 

2、PreparedStatement是预编译的，使用PreparedStatement有几个好处 
（1）在执行可变参数的一条SQL时，PreparedStatement比Statement的效率高，因为DBMS预编译一条SQL当然会比多次编译一条SQL的效率要高。 
（2）安全性好，有效防止Sql注入等问题。 

（3）对于多次重复执行的语句，使用PreparedStament效率会更高一点，并且在这种情况下也比较适合使用batch； 
（4）代码的可读性和可维护性。 

三、常用方法

1、executeQuery(String sql)或者executeQuery(String sql，String[]  columnNames)：返回结果集(ResultSet)。 

注意：ResultSet 对象具有指向其当前数据行的光标。最初，光标被置于第一行之前。next 方法将光标移动到下一行；因为该方法在 ResultSet 对象没有下一行时返回 false，所以可以在 while 循环中使用它来迭代结果集。

2、executeUpdate(String sql)或者executeUpdate(String sql，String[]  columnNames): 执行给定SQL语句,该语句可能为 INSERT、UPDATE 或 DELETE 语句， 或者不返回任何内容的SQL语句（如 SQL DDL 语句）。 
3、execute(String sql)或者execute(String sql，String[]  columnNames): 可用于执行任何SQL语句，返回一个boolean值， 表明执行该SQL语句是否返回了ResultSet。如果执行后第一个结果是ResultSet，则返回true，否则返回false。