JDBC中Statement和PrepareStatement的区别及特性

最新推荐文章于 2023-11-29 17:30:03 发布
最新推荐文章于 2023-11-29 17:30:03 发布
阅读量591 收藏
点赞数
分类专栏: 4-2 java ee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yzzky/article/details/44827989
版权
Statement执行一条sql就得编译一次,PrepareStatement只编译一次;常用后者原因在于参数设置非常方便;执行一条sql就得编译一次,后者只编译一次;还有就是sql放置的位置不同; 常用后者原因在于参数设置非常方便; 
Statement用于执行静态sql语句,在执行时,必须指定一个事先准备好的sql语句。
PrepareStatement是预编译的sql语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句中可以包含动态参数“?”,在执行时可以为“?”动态设置参数值。
使用PrepareStatement对象执行sql时,sql被数据库进行解析和编译,然后被放到命令缓冲区,每当执行同一个PrepareStatement对象时,它就会被解析一次,但不会被再次编译。在缓冲区可以发现预编译的命令,并且可以重用。
PrepareStatement可以减少编译次数提高数据库性能。
<h1 style="margin: 0px; padding: 0px; font-family: Arial; line-height: 26px;"><span style="font-size: 14px;"><span style="font-family: SimHei; color: rgb(255, 0, 0);">特性:</span></span></h1><span style="font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;">jdbc的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。</span></span><span style="font-family: Arial; font-size: 14px; line-height: 26px;"></span><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;">通过使用java.sql.preparedstatement,这个问题可以自动解决。一个preparedstatement是从 java.sql.connection对象和所提供的sql字符串得到的,sql字符串中包含问号(?),这些问号标明变量的位置,然后提供变量的值, 最后执行语句,例如:</span></p><blockquote style="font-family: Arial; font-size: 14px; line-height: 26px; border-style: none; padding: 0px; margin: 0px 0px 0px 40px;"><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 204, 204);">stringsql = "select * from people p where p.id = ? and p.name = ?";</span></span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 204, 204);">preparedstatement ps = connection.preparestatement(sql);</span></span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 204, 204);">ps.setint(1,id);</span></span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 204, 204);">ps.setstring(2,name);</span></span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 204, 204);">resultset rs = ps.executequery();</span></span></p></blockquote><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;">
使用preparedstatement的<span style="color: rgb(204, 51, 204);">另一个优点</span>是字符串不是动态创建的。下面是一个动态创建字符串的例子:</span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;">stringsql = "select * from people p where p.i = "+id;</span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;">preparedstatement也提供数据库无关性。当显示声明的sql越少,那么潜在的sql语句的数据库依赖性就越小。</span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;">由于preparedstatement具备很多优点,开发者可能通常都使用它,只有在完全是因为性能原因或者是在一行sql语句中没有变量的时候才使用通常的statement。</span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312; color: rgb(255, 153, 102);">一个完整的preparedstatement的例子:</span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 0, 102);">package jstarproject;
import java.sql.*;</span></span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 0, 102);">public class mypreparedstatement {</span></span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 0, 102);">private final string db_driver="com.microsoft.jdbc.sqlserver.sqlserverdriver";
private final string url = "jdbc:microsoft:sqlserver://127.0.0.1:1433;databasename=pubs";</span></span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 0, 102);">public mypreparedstatement() 
{
}
public void query() throws sqlexception{
connection conn = this.getconnection();
string strsql = "select emp_id from employee where emp_id = ?";
preparedstatement pstmt = conn.preparestatement(strsql);
pstmt.setstring(1,"pma42628m");
resultset rs = pstmt.executequery();</span></span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 0, 102);">
while(rs.next()){
string fname = rs.getstring("emp_id");
system.out.println("the fname is " + fname);
}
rs.close();
pstmt.close();
conn.close();</span></span></p><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(0, 0, 102);">}
private connection getconnection() throws sqlexception{
// class.
connection conn = null;
try {
class.forname(db_driver);
conn = drivermanager.getconnection(url,"sa","sa");
}
catch (classnotfoundexception ex) {}
return conn;
}
//main
public static void main(string[] args) throws sqlexception {
mypreparedstatement jdbctest1 = new mypreparedstatement();
jdbctest1.query();
}
}</span></span>


</p><h1 style="margin: 0px; padding: 0px; font-family: Arial; line-height: 26px;"><a target=_blank name="t2" style="color: rgb(255, 153, 0);"></a><a target=_blank name="t2" style="color: rgb(255, 153, 0);"></a><span style="font-size: 14px;"><span style="color: rgb(255, 0, 0);"><strong><span style="font-family: FangSong_GB2312;">为什么要始终使用PreparedStatement代替Statement?为什么要始终使用PreparedStatement代替Statement?</span></strong></span></span><span style="font-size: 14px;"><span style="color: rgb(255, 0, 0);"><strong>
</strong></span></span><span style="font-size: 14px;"><span style="color: rgb(255, 0, 0);"><strong><span style="font-family: FangSong_GB2312;">基于以下的原因:</span></strong></span></span></h1><h2 style="margin: 0px; padding: 0px; font-family: Arial; line-height: 26px;"><a target=_blank name="t3" style="color: rgb(255, 153, 0);"></a><a target=_blank name="t3" style="color: rgb(255, 153, 0);"></a><span style="font-size: 14px;"><span style="font-family: FangSong_GB2312;"><span style="color: rgb(255, 102, 0);">一.代码的可读性和可维护性.</span></span></span></h2><span style="font-family: Arial; font-size: 14px; line-height: 26px;">
<span style="font-family: FangSong_GB2312;">虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:
</span>
<span style="color: rgb(0, 0, 102);"><span style="font-family: FangSong_GB2312;">stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");
perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate();</span>
</span>
</span><span style="font-family: Arial; font-size: 14px; line-height: 26px;"></span><h2 style="margin: 0px; padding: 0px; font-family: Arial; line-height: 26px;"><a target=_blank name="t4" style="color: rgb(255, 153, 0);"></a><a target=_blank name="t4" style="color: rgb(255, 153, 0);"></a><span style="font-size: 14px;"><span style="font-family: SimHei; color: rgb(255, 102, 0);">二.PreparedStatement尽最大可能提高性能.</span></span></h2><span style="font-family: Arial; font-size: 14px; line-height: 26px;">
<span style="font-family: FangSong_GB2312;">每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么 下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个 Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以 直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:
</span>
<span style="font-family: FangSong_GB2312;">insert into tb_name (col1,col2) values ('11','22');</span>
<span style="font-family: FangSong_GB2312;">insert into tb_name (col1,col2) values ('11','23');
</span>
<span style="font-family: FangSong_GB2312;">即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.
</span>
<span style="font-family: FangSong_GB2312;">当然并不是所以预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.</span>
</span><span style="font-family: Arial; font-size: 14px; line-height: 26px;"></span><h2 style="margin: 0px; padding: 0px; font-family: Arial; line-height: 26px;"><a target=_blank name="t5" style="color: rgb(255, 153, 0);"></a><a target=_blank name="t5" style="color: rgb(255, 153, 0);"></a><span style="font-size: 14px;">
</span><span style="font-size: 14px;"><span style="font-family: SimHei; color: rgb(255, 102, 0);">三.最重要的一点是极大地提高了安全性.</span></span></h2><span style="font-family: Arial; font-size: 14px; line-height: 26px;">
<span style="font-family: FangSong_GB2312;">即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道.</span>
<span style="font-family: FangSong_GB2312;">String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";</span>
<span style="font-family: FangSong_GB2312;">如果我们把[' or '1' = '1]作为varpasswd传入进来.用户名随意,看看会成为什么?</span>

<span style="font-family: FangSong_GB2312;">select * from tb_name = '随意' and passwd = '' or '1' = '1';</span>
<span style="font-family: FangSong_GB2312;">因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者:</span>
<span style="font-family: FangSong_GB2312;">把[';drop table tb_name;]作为varpasswd传入进来,则:</span>
<span style="font-family: FangSong_GB2312;">select * from tb_name = '随意' and passwd = '';drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.</span>

</span><span style="font-family: Arial; font-size: 14px; line-height: 26px;"></span><p style="margin-top: 0px; margin-bottom: 0px; padding-top: 0px; padding-bottom: 0px; font-family: Arial; font-size: 14px; line-height: 26px;"><span style="font-family: FangSong_GB2312;">而如果你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.只要全使用预编译语句,你就用不着对传入的数据做任何过虑.而如果使用普通的statement,有可能要对drop,;等做费尽心机的判断和过虑.</span></p>
YZZKY
关注
专栏目录
jdbcPreparedStatementStatement
qq_42902470的博客
01-09 1585
1.PreparedStatement原理 Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。Statement每执行一次都要对传入的SQL语句编译一次,效率较差。 某些情况下,SQL语句只是其的参数有所不同,其余子句完全相同,适合使用PreparedStatement PreparedStatement的另外一个重要好处就是预防sql注入攻击。 PreparedStat...
JDBC prepareStatementStatement区别
冉筱
07-29 672
先来看看JDBC prepareStatementStatement区别 如上图,可以概括两点, 一、使用PreparedStatement更安全,解决了Sql注入的问题 二、效率更高,特别是调用次数较多的时候 相比较Statement而言,它是个半成品。 它是Statement的一个子接口,使用步骤分为3步: 1创建:通过连接获得prepareedStatement对象 String sql = "Select * from users_luxw where username= .
JDBC preparedStatementStatement区别
热门推荐
发呆的程序猿
05-16 4万+
一、概念PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStateme
JDBCStatement 和 PrepareStatement区别
生命不息,奋斗不止
10-22 824
作用:数据库连接的时候创建一个对象,然后通过对象去调用executeQuery方法来执行sql语句 Statement: String sql = "select * from users"; Statement stmt = db.conn.createStatement(); ResultSet rs = stmt.executeQuery(sql); PrepareStatement...
JDBCPrepareStatementStatement区别
拿着菜刀的诗人
07-24 1123
JDBCPrepareStatementStatement区别总结一下:PrepareStatementStatement : 1,有时候更方便 2,有时候更有效率 3,更安全解释一下:PrepareStatement经过DBMS预编译,所以如果多次执行一个SQL语句的话,用PrepareStatement更有效率如果只是执行一次的话,那和Statement从效率上来说差不多。
JDBCStatement和Preparement的使用讲解
08-26
JDBC Statement 和 PrepareStatement 的使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本的 SQL 语句执行功能。PrepareStatementStatement 的子接口,提供了预编译的功能,可以提高性能和安全...
jdbcstatement和preparestatement区别
05-05
JDBC Statement 和 PreparedStatement 都是用于执行 SQL 语句的接口,但它们之间有以下的区别: 1. PreparedStatement 预编译: PreparedStatement 对象在执行 SQL 语句之前会进行预编译,这样可以提高 SQL ...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
PrepareStatementJDBC提供的一种预编译的SQL语句,它可以提高数据库操作的效率和安全性。本资源主要涵盖了使用JDBC PrepareStatement进行MySQL数据库操作的各种场景,包括基本的查询、更新以及批量处理。 首先,...
JDBC(用PrepareStatement实现)
01-15
JDBC实现Java与数据库的连接,该文件使用PrepareStatement实现。
JDBCprepareStatementStatement区别
yc892032497的专栏
05-31 660
package util; import java.sql.Connection;  import java.sql.DriverManager;  import java.sql.PreparedStatement; import java.sql.ResultSet;  import java.sql.SQLException;  import java.sql.Statement
JDBC statement 和 prepareStatement 详解
qszfly的博客
09-06 776
jdbc java
jdbcStatement和Preparement
rainzero520的博客
06-22 529
Jdbc DML 操作 2 Statement:静态SQL操作 3 每次操作都会将sql语句提交到数据库执行一次,性能比较低 4 // 1.加载驱动程序 5 Class.forName(driverName); 6 // 2.获取数据库连接 7 Connection conn = DriverManager.getConnection(url, user, password); 8 // 3.构建SQL语句 9 String sql = “insert int
【Java】JDBC 之 PreparedStatementStatement区别和理解【转载并梳理】
weixin_50223520的博客
11-29 2799
JDBC 之 PreparedStatementStatement区别和理解【转载并梳理】
jdbcstatement和preparestatement
Chengliangyao的博客
03-11 379
使用了statement的话必须在sql语句写入值,例如:String sql = "insert into test_user(name,age) values ('李四',30)";只能传入一段确定的sql语句,因为这段sql语句是确定的,常用的方式可能就是拼接字符串。这样用会有以下2个缺点:1、sql注入2、每次运行语句mysql都会编译,资源浪费preparestatement只会编译一...
java JDBC接口之Statement和PrepareStatement(3)
你的世界我做主
08-27 606
一. 接口说明 1.Statement和PrepareStatement都是执行sql 的接口 2.PrepareStatement可以预防sql注入,实现原理是将SQL特殊的符号加反斜杠,使其转换为普通的字符串,而不是sql命令,就是我们常说的预编译过程,而Statement的没有这样的功能的 2.接口说明和使用实列 1.获取对象和执行更新操作sql /** * @author zeng */ public class Main { private static final Str
jdbc操作数据库Statement和prepareStatement区别
老牛鼻子的山
11-25 435
[size=large]Statement和prepareStatement区别[/size] [size=x-large]两个接口都是用来实现,然后将sql语句传入实现后的对象,并通过对象发送给数据库,但是两种方式又有很大的区别。接下来就说一下它们两个的区别。 首先从它们的实例化方式来说: Statement的实例化方式是通过Conection的实例调用createState...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值