Statement与PreparedStatement

最新推荐文章于 2024-01-05 20:21:58 发布
最新推荐文章于 2024-01-05 20:21:58 发布
阅读量396 收藏 2
点赞数
分类专栏: MySQL 文章标签: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40722604/article/details/117519969
版权

Statement

  Statement:Statement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。具体步骤:

1.首先导入java.sql.*;这个包。
2.然后加载驱动,创建连接,得到Connection接口的的实现对象,比如对象名叫做conn。
3.然后再用conn对象去创建Statement的实例,方法是:
Statement stmt = conn.creatStatement("SQL语句字符串");

  Statement 对象用于将 SQL 语句发送到数据库中。实际上有三种 Statement 对象,它们都作为在给定连接上执行 SQL语句的包容器:Statement、PreparedStatement(它从 Statement 继承而来)和CallableStatement(它从 PreparedStatement 继承而来)。它们都专用于发送特定类型的 SQL 语句:

Statement 对象用于执行不带参数的简单 SQL 语句;
PreparedStatement 对象用于执行带或不带参数的预编译 SQL 语句;
CallableStatement 对象用于执行对数据库已存储过程的调用。

  综上所述:Statement每次执行sql语句,数据库都要执行sql语句的编译,最好用于仅执行一次查询并返回结果的情形,效率高于PreparedStatement。但存在sql注入风险。PreparedStatement是预编译执行的。在执行可变参数的一条SQL时,PreparedStatement要比Statement的效率高,因为DBMS预编译一条SQL当然会比多次编译一条SQL的效率高。安全性更好,有效防止SQL注入的问题。对于多次重复执行的语句,使用PreparedStatement效率会更高一点。执行SQL语句是可以带参数的,并支持批量执行SQL。由于采用了Cache机制,则预编译的语句,就会放在Cache中,下次执行相同的SQL语句时,则可以直接从Cache中取出来。

PreparedStatement pstmt  =  con.prepareStatement("UPDATE EMPLOYEES  SET name= ? WHERE ID = ?");
pstmt.setString(1, "李四");
pstmt.setInt(2, 1);
pstmt. executeUpdate();

  那么CallableStatement扩展了PreparedStatement的接口,用来调用存储过程,它提供了对于输入和输出参数的支持,CallableStatement 接口还有对 PreparedStatement 接口提供的输入参数的sql查询的支持。

  PreparedStatement: 数据库会对sql语句进行预编译,下次执行相同的sql语句时,数据库端不会再进行预编译了,而直接用数据库的缓冲区,提高数据访问的效率,如果sql语句只执行一次,以后不再复用。PreparedStatement通过?来传递参数,避免了拼sql而出现sql注入的问题,所以安全性较好。

  其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。

String sql = "select * from users where  username= '"+username+"' and userpwd='"+userpwd+"'";
stmt = conn.createStatement();
rs = stmt.executeQuery(sql);

  而下面则是使用了PrepareStatement方法创建了pstmt对象,再通过这个对象查询的一部分语句片段。

String sql = "select * from users where  username=? and userpwd=?";
pstmt = conn.prepareStatement(sql);
pstmt.setString(1, username);
pstmt.setString(2, userpwd);
rs = pstmt.executeQuery();

PrepareStatement跟Statement对比

  PrepareStatement跟Statement的主要区别就是把上面sql语句中的变量抽出来了。这就是我要说的第一大优点,PrepareStatement可以提高代码的可读性。

Statement 可以批量执行多条不一样类型的SQL语句

conn = DbUtils.getConnection();
Statement sts = conn.createStatement();
sql1 = "insert into t_user(userid,username,password)values(seq_t_user.nextval,'a','b')";
sql2 = "update t_user set password='111' where userid=43";
// 添加批处理的sql语句
sts.addBatch(sql1);
sts.addBatch(sql2);
sts.executeBatch();

PreparedStatement:可以批量执行多条相同类型变化参数的SQL语句

conn = DbUtils.getConnection();
sql = "insert into t_user(userid,username,password)values(seq_t_user.nextval,?,?)";
PreparedStatement ps = conn.prepareStatement(sql);
for(int i = 0 ; i < 10 ; i++){
	ps.setString(1, "a"+i);
	ps.setString(2, "b"+i);
	ps.addBatch();
}
ps.executeBatch();

ParperStatement提高了代码的灵活性和执行效率
  PrepareStatement接口是Statement接口的子接口,他继承了Statement接口的所有功能。它主要是拿来解决我们使用Statement对象多次执行同一个SQL语句的效率问题的。ParperStatement接口的机制是在数据库支持预编译的情况下预先将SQL语句编译,当多次执行这条SQL语句时,可以直接执行编译好的SQL语句,这样就大大提高了程序的灵活性和执行效率。

String sql = "select * from user where username= '"+varname+"' and userpwd='"+varpasswd+"'";
stmt = conn.createStatement();
rs = stmt.executeUpdate(sql);

  这是验证用户名密码的,对吧。但要是我们把’or ‘1’ = 1’当作密码传进去,你猜猜会发生啥。

select * from user where username = 'user' and userpwd = '' or '1' = '1';

String sql = "select * from user where username= '"+varname+"' and userpwd='"+varpasswd+"'";
stmt = conn.createStatement();
rs = stmt.executeUpdate(sql);

  对数据库进行增删改查的过程中的通用的流程:

(1)、创建Connection对象、SQL查询命令字符串;
(2)、对Connection对象传入SQL查询命令,获得PreparedStatement对象;
(3)、对PreparedStatement对象执行executeUpdate()或executeQurey()获得结果;
(4)、先后关闭PreparedStatement对象和Connection对象。

CallableStatement

存储过程:
  是一组为了完成特定功能的SQL 语句,类似一门程序设计语言,也包括了数据类型、流程控制、输入和输出和它自己的函数库(就是一组SQL语句构成的集合)。存储过程可以说是一个记录集,它是由一些T-SQL语句组成的代码块,这些T-SQL语句代码像一个方法一样实现一些功能(对单表或多表的增删改查),然后再给这个代码块取一个名字,在用到这个功能的时候调用他就行了。

 Class.forName(driver_class_name);
 Connection connection = DriverManager.getConnection(url, username, password);
 /**
  * 存储过程语法
  * 带参数:{call 存储过程名称 [参数1,参数2,.......]}
  * 不带参数:{call 存储过程名称}
  */
 String sql = "{call storage_name(?,?,?......)}";
 CallableStatement callableStatement = connection.prepareCall(sql);
 /**
  * 前两个参数是in,后一个参数是out
  * 类似于执行该语句:select name from user where id = x and sex = y
  * in x int,out name varchar(20)
  * 但是此时没有结果集,取查询的数据不能通过getResultSet()获取,而是通过 String name = callableStatement.getString(3); 获取
  */
 callableStatement.setString(1, "aaa");
 callableStatement.setInt(2, 2);
 callableStatement.registerOutParameter(3, java.sql.Types.VARCHAR);
 
 // 返回的是一个boolean值
 boolean execute = callableStatement.execute();
 // 如果一个存储过程中包含多条语句,返回结果集可能有多个,此时需要逐个取出结果
 do {
     ResultSet resultSet = callableStatement.getResultSet();
     while (resultSet.next()) {
         for (int i = 0; i < resultSet.getMetaData().getColumnCount(); i++) {
             System.out.print(resultSet.getString(i) + "\t");
         }
         System.out.println();
     }
     System.out.println("=====================================");
     // 如果直接用while循环,则会忽略第一个结果集,故需要采用 do{}while()
 } while (callableStatement.getMoreResults());
木易三水良
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解Java的JDBC中Statement与PreparedStatement对象
09-03
主要介绍了详解Java的JDBC中Statement与PreparedStatement对象,PreparedStatement一般来说比使用Statement效率更高,需要的朋友可以参考下
java中Statement详细用法。
热门推荐
窥望奇妙世界
12-30 9万+
1、创建 Statement 对象 建立了到特定数据库的连接之后,就可用该连接发送 SQL 语句。Statement 对象用 Connection 的方法createStatement 创建,如下列代码段中所示: Connection con = DriverManager.getConnection(url, "sunny",""); Statement stmt = con.cr
JDBC学习笔记
TimeMagician的博客
06-07 181
我是通过易百教程和JDBC获取连接对象源码分析进行JDBC的粗略学习了,主要是为了梳理知识脉络。现在总结如下。 JDBC是用来建立Java程序与数据库的连接的,Java规定了一系列的API,然后让各个类型的数据库公司去实现这些API,Java只负责通过API与数据库通信。数据库公司实现好的API打包成一个jar包,我们称之为数据库的驱动包。通过将该包导入到Java的库中,就可以使用对应的数据...
JDBC数据库访问——数据库操作
最新发布
weixin_60415234的博客
01-05 1274
与指定的数据库建立连接后,就可以使用JDBC提供的API对数据库进行操作,包括查询、新增、更新、删除等。
一个connection对象可以创建一个或一个以上的statement对象_Jdbc中的对象
weixin_39620118的博客
12-05 947
jabc中用到的类都是接口jdbc中的对象1. DriverManager:驱动管理对象功能:1.注册驱动2. 获取数据库连接url:指定连接的路径指定ip端口和数据库的名称连接mysql的代码:jdbc:mysql://ip地址(域名):端口号/数据库名称localhost代表的是本机回环地址127.0.0.1ip可以找到要找的计算机,端口号可以找到那台计算机要连接的mysql数据库注意:mys...
preparedStatementStatement区别及联系
一枚数学专业的小码农的博客
08-31 6783
JDBC中preparedstatementstatement中的区别
PreparedStatementstatement的区别
xupt_rl的博客
07-21 4475
一、PreparedStatement概述    PreparedStatementstatement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法来获得,相对于Statement对象,PreparedStatement可以防止SQL注入。   另外Statement会使得数据库频繁编译SQL,有可能会造成数据库缓冲区溢出。PreparedSta...
Statement和PreparedStatement的区别
一只大鹏鹏的博客
07-21 1万+
区别: 1、PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3、statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement预编译得, preparedstatement支持...
【Java】JDBC 之 PreparedStatementStatement 的区别和理解【转载并梳理】
weixin_50223520的博客
11-29 1319
JDBC 之 PreparedStatementStatement 的区别和理解【转载并梳理】
PreparedStatementStatement关系和区别的简单概述
sss111166的博客
06-23 1698
PreparedStatementStatement关系和区别的简单概述
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别
java中PreparedStatementStatement详细讲解
08-25
主要介绍了java中PreparedStatementStatement详细讲解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PreparedStatementStatement
03-22
NULL 博文链接:https://stevenjohn.iteye.com/blog/968877
PreparedStatement接口
08-06
NULL 博文链接:https://chaoyi.iteye.com/blog/2088080
关于MySQL Point类型数据的简单操作
木易三水良
02-15 1万+
MySQL中的point用于表示GIS中的地理坐标,在GIS中广泛使用,该文章只介绍了Point类型的初级数据操作摘要。 1、创建带有point类型的表格: CREATE TABLE `test-point` ( `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '序号', `point` point NOT NULL COMMENT '经...
如何避免SQL注入
木易三水良
01-27 1080
SQL注入原理不做解释了,大家都知道 危害嘛: -- 本来我只想获取id=2的数据 SELECT id,NAME FROM area WHERE id = -- 正常的参数 2 -- 后面是sql注入追加的参数 or 1 = 1 UNION SELECT -- 前面有几列数据,你后面联表查询也必须有相同数量列的数据才可以执行成功 1,-- 数据库版本 version() UNION SELECT 1,-- 数据库 DATABASE () UNION SELECT 1, --
关于vachar存储汉字数量的问题
木易三水良
07-14 535
具体还是要看版本的 4.0版本以下,varchar(100),指的是100字节,如果存放UTF8汉字时,只能存33个(每个汉字3字节) 5.0版本以上,varchar(100),指的是100字符,无论存放的是数字、字母还是UTF8汉字(每个汉字3字节),都可以存放100个。 自己在数据库中建个表测试下可以放多少个汉字。 示例:以5.0以上版本为例。 新建表: CREATE TABLE varchar_test ( `id` int(11) NOT NULL , `string` varchar(20
优化SQL语句
木易三水良
06-27 156
1、一般步骤   通过以下命令可以了解数据库的执行频率,到底是以查询为主还是以插入更新为主。 show STATUS like 'Com_%' Com_select:执行SELECT操作的次数,一次查询只累加1。 Com_insert:执行INSERT操作的次数,对于批量插入的INSERT操作,只累加一次。 Com_update:执行UPDATE操作的次数。 Com_delete:执行DELETE操作的次数 上面的数据针对所有的存储引擎都会出现,但是下面的数据只会在InnoDB中出现。 Innodb
请简述Statement与PreparedStatement的区别。
04-11
Statement 是一种简单的 SQL 执行对象,它能够执行静态 SQL 查询语句,但存在 SQL 注入攻击的风险。而 PreparedStatement 是一种预处理的 SQL 执行对象,可以提高 SQL 的执行效率,同时还能够防止 SQL 注入攻击。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值