联系:
1.PreparedStatement继承自Statement,两者都是接口。
2.内部都要建立类似于Sockt连接,效率都不是特别高。
从资源利用和安全的角度区分两者的不同:
关于批处理时如何选择,以数据量大小位标准分三种情况:
1)量比较小,二者皆差别不大。
2)量比较多,在PreparedStatement预编译空间范围之内,选择PreparedStatement,因为其只预编译一次sql语句。
3)量特别大,使用Statement,因为PrepareStatement的预编译空间有限,当数据量特别大时,会发生异常。
特殊情况还有:执行不同的sql语句,批处理...等等 ,可以从消耗资源的角度再次分析。
批处理综合分析:
使用PreparedStatement代码演示:
在批处理过程中包含的sql语句的主干部分(sql语句)必须相同,改变的只是参数,因此编译一次sql语句即可,极大提高性能,但其主干必须相同则影响了灵活性。
public static void main(String[] args) {
2 Connection conn = null;
3 Statement stat = null;
4 PreparedStatement ps = null;
5
6 try {
7 Class.forName("com.mysql.jdbc.Driver");
8 conn = DriverManager.getConnection("jdbc:mysql:///mydb5","root","admin");
9 //开始事务
10 conn.setAutoCommit(false);
11 String sql = "insert into tb_batch values (null,?)";
12 ps = conn.prepareStatement(sql);
13 for(int i=2000;i<3000;i++){
14 ps.setString(1, "tong"+i);
15 ps.addBatch();
16 }
17 ps.executeBatch();
18 //提交事务
19 conn.commit();
22 } catch (Exception e) {
23 e.printStackTrace();
24 }finally{
25 JDBCutils.closeResou(conn, ps, null);
26 }
29 }使用Statement代码演示:
可以包含结构不同的sql语句,灵活性得到提高,但没有预编译机制, 效率低下;并且你会发现发送的sql语句主干部分相同,只是参数不同, 但是主干部分每次都需要重复写入,极为麻烦。.
Connection conn = null;
4 Statement stat = null;
5 //注册驱动和连接数据库
6 conn = JDBCutils.getConn();
7 try {
8 stat = conn.createStatement();
9 stat.addBatch("drop database if exists mydb5");
10 stat.addBatch("create database mydb5");
13 stat.addBatch("insert into tb_batch values(null,'a')");
14 stat.addBatch("insert into tb_batch values(null,'bbb')");
15 stat.addBatch("insert into tb_batch values(null,'cccccc')");
16 stat.executeBatch();
19 } catch (Exception e) {
20 e.printStackTrace();
21 }finally{
22 JDBCutils.closeResou(conn, stat, null);
23 }
24
从数据库安全的角度:
PreparedStatement可防止SQL注入。SQL注入情况如下所示:
//输入要删除的账户:'abc' or 1=1
String username="'abc' or 1=1"
//等待用户输入的SQL语句
String sql=select * from user where username ='"+username+"';可以发现输入密码时,已经属于非法输入
使用Statement 的话最后的sql语句则是如下所示:
select * from user where name = 'abc' or 1=1;数据库容易被人恶意全部删除。
扫一扫
371
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
