可以使用**PreparedStatement**,PreparedStatement继承Statement,性能上要优于Statement。
原因
PreparedStatement采用预编译机制将SQL语句中的主干和参数分别传给数据库服务器,从而使数据库分辨出哪些是SQL语句的主干,哪些是参数,从而有效防止SQL注入。
PreparedStatement优点
1、可以防止SQL注入
2、采用预编译机制,把SQL语句先编译,执行效率高于statement
3、SQL语句使用?代替参数,然后使用方法设置?的值
PreparedStatement和Statement比较:
1)语法不同:PreparedStatement可以使用预编译的SQL,Statement只能使用静态的SQL。
2)效率不同:PreparedStatement可以使用缓存区,效率比Statement高。
3)安全性不同:PreparedStatement可以有效防止SQL注入,二statement不能防止SQL注入。