sql中Statement与PreparedStatement的区别
程序员文章站
2023-12-22 19:38:52
...
package com.util; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; /** * sql中Statement与PreparedStatement的区别 * 1.Statement用于执行静态sql语句,在执行时,必须指定一个事先准备好的sql语句,也就是说sql语句是静态的。 2.PrepareStatement是预编译的sql语句对象,sql语句被预编译并保存在对象中。 被封装的sql语句代表某一类操作,语句中可以包含动态参数“?”,在执行时可以为“?”动态设置参数值。 3.使用PrepareStatement对象执行sqll时,sql被数据库进行解析和编译,然后被放到命令缓冲区,每当执行同一个PrepareStatement对象时,它就会被解析一次,但不会被再次编译。 在缓冲区可以发现预编译的命令,并且可以重用。所以PrepareStatement可以减少编译次数提高数据库性能。 4.Statement可以被sql注入,而PrepareStatement不能被sql注入 * @author yangjianzhou * */ public class TestJDBC { public static void main(String[] args) { Connection conn = null; Statement stmt = null; ResultSet rs = null; String str = "yangjianzhou"; try{ Class.forName("com.mysql.jdbc.Driver"); conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncode=utf-8","root","admin"); stmt = conn.createStatement(); rs = stmt.executeQuery("SELECT * FROM students where name ='"+str+"'"); while(rs.next()){ System.out.println(rs.getString("name")); System.out.println(rs.getString("sex")); } PreparedStatement ps = conn.prepareStatement("SELECT * FROM students where name = ? "); ps.setString(1, "yangjianzhou"); rs = ps.executeQuery(); System.out.println(rs.next()); }catch (Exception e) { e.printStackTrace(); }finally{ if(rs != null){ try{ rs.close(); }catch (Exception e) { e.printStackTrace(); } } if(stmt != null){ try{ stmt.close(); }catch (Exception e) { e.printStackTrace(); } } if(conn != null){ try{ conn.close(); }catch (Exception e) { e.printStackTrace(); } } } } }
运行结果:
yangjianzhou male true