JDBC的Statement和PreparedStatement
- Statement 和 PreparedStatement之间的关系和区别.
关系:PreparedStatement继承自Statement,都是接口
区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 - Statement可以正常访问数据库,适用于运行静态 SQL 语句。 Statement 接口不接受参数。
- PreparedStatement计划多次使用 SQL 语句, PreparedStatement 接口运行时接受输入的参数。
Statement对象
每次执行都编译一次
创建对象
在你准备使用 Statement 对象执行 SQL 语句之前,你需要使用 Connection 对象的 createStatement() 方法创建一个
下面展示一些 内联代码片
Statement stmt = null;
try {
stmt = conn.createStatement( );
. . .
}
catch (SQLException e) {
. . .
}
finally {
. . .
}
当你创建了一个 Statement 对象之后,你可以用它的三个执行方法的任一方法来执行 SQL 语句。
- boolean execute(String SQL) :如果 ResultSet 对象可以被检索,则返回的布尔值为 true
,否则返回 false 。当你需要使用真正的动态 SQL 时,可以使用这个方法来执行 SQL DDL 语句。 - int executeUpdate(String SQL) :返回执行 SQL 语句影响的行的数目。使用该方法来执行 SQL
语句,是希望得到一些受影响的行的数目,例如,INSERT,UPDATE 或 DELETE 语句。 - ResultSet executeQuery(String SQL) :返回一个 ResultSet
对象。当你希望得到一个结果集时使用该方法,就像你使用一个 SELECT 语句。
关闭 Statement 对象
正如你关闭一个 Connection 对象来节约数据库资源,出于同样的原因你也应该关闭 Statement 对象。
简单的调用 close() 方法就可以完成这项工作。如果你关闭了 Connection 对象,那么它也会关闭 Statement 对象。然而,你应该始终明确关闭 Statement 对象,以确保真正的清除。
Statement stmt = null;
try {
stmt = conn.createStatement( );
. . .
}
catch (SQLException e) {
. . .
}
finally {
stmt.close();
}
PreparedStatement 对象
PreparedStatement接口扩展了 Statement 接口,它让你用一个常用的 Statement 对象增加几个高级功能。编译一次执行多次。
这个 statement 对象可以提供灵活多变的动态参数。
创建 PreparedStatement 对象
PreparedStatement pstmt = null;
try {
String SQL = “Update Employees SET age = ? WHERE id = ?”;
pstmt = conn.prepareStatement(SQL);
. . .
}
catch (SQLException e) {
. . .
}
finally {
. . .
}
JDBC 中所有的参数都被用?符号表示,这是已知的参数标记。在执行 SQL 语句之前,你必须赋予每一个参数确切的数值。
setXXX()方法将值绑定到参数,其中XXX表示你希望绑定到输入参数的 Java 数据类型。如果你忘了赋予值,你将收到一个 SQLException。
每个参数标记映射它的序号位置。第一标记表示位置 1 ,下一个位置为 2 等等。这种方法不同于 Java 数组索引从0开始
所有的Statement对象的方法都与数据库交互
- execute()
- executeQuery()
- executeUpdate()
都能被 PreparedStatement 对象引用。然而,这些方法被 SQL 语句修改后是可以输入参数的。
关闭 PreparedStatement 对象
简单的调用 close() 方法可以完成这项工作。如果你关闭了 Connection 对象,那么它也会关闭 PreparedStatement 对象。然而,你应该始终明确关闭 PreparedStatement 对象,以确保真正的清除。
PreparedStatement pstmt = null;
try {
String SQL = “Update Employees SET age = ? WHERE id = ?”;
pstmt = conn.prepareStatement(SQL);
. . .
}
catch (SQLException e) {
. . .
}
finally {
pstmt.close();
}
特定用法
当业务方面要求必须支持SQL注入时
Statement支持SQL注入,凡是业务方面需要进行sql语句拼接的,必须使用Statement
大部分用PreparedStatement
参考博客:https://www.jianshu.com/p/82009d13847d