关于preparedStatement，Statement兄弟俩和execute，excuteQuery，executeUpdate姐妹仨的故事

PerparedStatement和Statement

1.PreparedStatement能够防止SQL注入Statement不能防止SQL注入

 

PreparedStatement对象防止sql注入的方式是把用户非法输入的单引号用\反斜杠做了转义，从而达到了防止sql注入的目的

所以生产环境上一定要使用PreparedStatement，而不能使用Statement.

从本上来讲，mysql数据库产商，在实现PreparedStatement接口的实现类中的setString(int parameterIndex, String x)函数中做了一些处理，把单引号做了转义(只要用户输入的字符串中有单引号，那么mysql数据库产商的setString()这个函数，就会把单引号做转义)

如图：源码中做了转义的部分

 

2.PreparedStatement可以使用占位符，是预编译的，批处理比Statement效率高 

 

PreparedStatement继承自Statement,都是接口

PreparedStatement：表示预编译的 SQL 语句的对象。

   接口：public interface PreparedStatement extends Statement之间的继承关系

   SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。

   注：用于设置 IN 参数值的设置方法（setShort、setString 等等）必须指定与输入参数的已定义 SQL 类型兼容的类型。例如，如果 IN 参数具有 SQL 类型 INTEGER，那么应该使用 setInt 方法，问号的位置也是应该注意的，因为第一个问号的位置为1，第二个问号的位置为2.以此类推。

 

Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。

   接口：public interface Statement extends Wrapper

在默认情况下，同一时间每个 Statement 对象只能打开一个 ResultSet 对象。因此，如果读取一个 ResultSet 对象与另一个交叉，则这两个对象必须是由不同的 Statement 对象生成的。如果存在某个语句的打开的当前 ResultSet 对象，则 Statement 接口中的所有执行方法都会隐式关闭它。  

 

******************************我是分割线****************************************

executeQuery ，executeUpdate，execute三姐妹的故事

 

1.方法executeQuery 

用于产生单个结果集（ResultSet）的语句，例如:被执行最多的SELECT 语句。 

这个方法被用来执行 SELECT 语句，但也只能执行查询语句，执行后返回代表查询结果的ResultSet对象

 

2.方法executeUpdate

用于执行 INSERT、UPDATE 或 DELETE 语句以及 SQL DDL（数据定义语言）语句，例如 CREATE TABLE 和 DROP TABLE。

INSERT、UPDATE 或 DELETE 语句的效果是修改表中零行或多行中的一列或多列。

executeUpdate 的返回值是一个整数（int），指示受影响的行数（即更新计数）。

对于 CREATE TABLE 或 DROP TABLE 等不操作行的语句，executeUpdate 的返回值总为零

使用executeUpdate方法是因为在 createTableCoffees 中的 SQL 语句是 DDL （数据定义语言）语句。创建表，改变表，删除表都是 DDL 语句的例子，要用 executeUpdate 方法来执行。你也可以从它的名字里看出，方法 executeUpdate 也被用于执行更新表 SQL 语句。实际上，相对于创建表来说，executeUpdate 用于更新表的时间更多，因为表只需要创建一次，但经常被更新。

 

 

3.方法execute：

  用于执行返回多个结果集、多个更新计数或二者组合的语句可用于执行任何SQL语句，返回一个boolean值，表明执行该SQL语句是否返回了ResultSet。

  如果执行后第一个结果是ResultSet，则返回true，否则返回false。但它执行SQL语句时比较麻烦，通常我们没有必要使用execute方法来执行SQL语句，而是使用executeQuery或executeUpdate更适合。

但如果在不清楚SQL语句的类型时则只能使用execute方法来执行该SQL语句了

  execute方法应该仅在语句能返回多个ResultSet对象、多个更新计数或ResultSet对象与更新计数的组合时使用。当执行某个已存储过程或动态执行未知 SQL 字符串（即应用程序程序员在编译时未知）时，有可能出现多个结果的情况，尽管这种情况很少见。 因为方法 execute 处理非常规情况，所以获取其结果需要一些特殊处理并不足为怪。

  例如，假定已知某个过程返回两个结果集，则在使用方法 execute 执行该过程后，必须调用方法 getResultSet 获得第一个结果集，然后调用适当的 getXXX 方法获取其中的值。要获得第二个结果集，需要先调用 getMoreResults 方法，然后再调用 getResultSet 方法。如果已知某个过程返回两个更新计数，则首先调用方法 getUpdateCount，然后调用 getMoreResults，并再次调用 getUpdateCount。 

  对于不知道返回内容，则情况更为复杂。如果结果是 ResultSet 对象，则方法 execute 返回 true；如果结果是 Java int，则返回 false。如果返回 int，则意味着结果是更新计数或执行的语句是 DDL 命令。在调用方法 execute 之后要做的第一件事情是调用 getResultSet 或 getUpdateCount。调用方法 getResultSet 可以获得两个或多个 ResultSet 对象中第一个对象；或调用方法 getUpdateCount 可以获得两个或多个更新计数中第一个更新计数的内容。 

  当 SQL 语句的结果不是结果集时，则方法 getResultSet 将返回 null。这可能意味着结果是一个更新计数或没有其它结果。在这种情况下，判断 null 真正含义的唯一方法是调用方法 getUpdateCount，它将返回一个整数。这个整数为调用语句所影响的行数；如果为 -1 则表示结果是结果集或没有结果。如果方法 getResultSet 已返回 null（表示结果不是 ResultSet 对象），则返回值 -1 表示没有其它结果。也就是说，当下列条件为真时表示没有结果（或没有其它结果）： 

                     ((stmt.getResultSet() == null) && (stmt.getUpdateCount() == -1)) 

如果已经调用方法 getResultSet 并处理了它返回的 ResultSet 对象，则有必要调用方法 getMoreResults 以确定是否有其它结果集或更新计数。如果 getMoreResults 返回 true，则需要再次调用 getResultSet 来检索下一个结果集。如上所述，如果 getResultSet 返回 null，则需要调用 getUpdateCount 来检查 null 是表示结果为更新计数还是表示没有其它结果。 

 

当 getMoreResults 返回 false 时，它表示该 SQL 语句返回一个更新计数或没有其它结果。因此需要调用方法 getUpdateCount 来检查它是哪一种情况。在这种情况下，当下列条件为真时表示没有其它结果： 

 

                           ((stmt.getMoreResults() == false) && (stmt.getUpdateCount() == -1)) 

 

总结：execute可以用来执行任意SQL语句，返回一个boolean的值，表明该语句是否返回了一个结果集对象ResultSet。通常一般没有必要去使用execute。 excuteQuery，executeUpdate适合于很多场景的使用。当不知道sql语句是什么类型的时候，用execute

 

参考了很多资料。。。在这里感谢大佬们。。。