当我们使用java程序来操作sql server时会使用到Statement和PreparedStatement,俩者都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句。那么如何进行一个较好的选择?
首先,我们来看俩者的区别:
Statement和PreparedStatement的区别(1)
1、直接使用Statement,驱动程序一般不会对sql语句作处理而直接交给数据库;使用PreparedStamen,形成预编译的过程,并且会对语句作字符集的转换(至少在sql server)中如此。
如此,有两个好处:对于多次重复执行的语句,使用PreparedStament效率会更高一点,并且在这种情况下也比较适合使用batch;另外,可以比较好地解决系统的本地化问题。
2、PreparedStatement还能有效的防止危险字符的注入,也就是sql注入的问题。(但是必须使用“对?赋值的方法”才管用)
我们用一个实例来进行演示:
PreparedStatement的使用[Sql_test2.java]
/**
* PreparedStatement使用CRUD
*1、PreparedStatement可以提高执行效率(因为它有预编译的功能)
*2、PreparedStatement可以防止SQL注入,但是要求用?赋值的方式才可以
*/
packagecom.sqlserver;
importjava.sql.*;
publicclass Sql_test2 {
public static void main(String[] args) {
Connection ct=null;
PreparedStatement ps=null;
ResultSet rs=null;
try {
//1、加载驱动(把需要的驱动程序加入内存)
Class.forName("sun.jdbc.odbc.JdbcOdbcDriver");