浅析 PreparedStatement 和 Statement
Statement
1.创建方法
Statement statement = conn.createStatement();
2.执行方法
// 执行查询操作 -> select
String sql = "select `name` from users where `id`=1";// 示例
statement.executeQuery(sql);
// 执行更新操作 -> insert、update、delete...
String sql = "delete from users where `id`=1";// 示例
statement.executeUpdate(sql);
// 执行任意数据库操作,不易封装,所以基本不使用。
String sql = "drop table users";// 示例
statement.execute(sql);
3.返回结果
// 返回 ResultSet,调用其 next() 方法取出执行结果。
ResultSet resultSet = statement.executeQuery(sql);
while (resultSet.next()) {
dosomething...
}
// 返回 SQL 数据操作语言 (DML) 语句的行数或 0。
int result = statement.executeUpdate(sql);
4.关闭连接
statement.close();
PreparedStatement
1.创建方法
String sql = "select `name` from users where `id`=?";// 示例
// 需要预编译的 SQL,使用 ? 占位。
PreparedStatement preparedstatement = conn.prepareStatement(sql);
2.传入参数
// 按照预编译 SQL 中 ? 的顺序和类型传入,parameterIndex从 1 开始。
preparedstatement.setInt(int parameterIndex, int x);
preparedstatement.setString(int parameterIndex, String x);
...
3.执行方法
// 因为上一步已经传入参数,所以执行不需要传参。
// 执行查询操作 -> select
preparedstatement.executeQuery();
// 执行更新操作 -> insert、update、delete...
preparedstatement.executeUpdate();
// 执行任意数据库操作,不易封装,所以基本不使用。
preparedstatement.execute();
4.返回结果
// 返回 ResultSet,调用其 next() 方法取出执行结果。
ResultSet resultSet = preparedstatement.executeQuery();
while (resultSet.next()) {
dosomething...
}
// 返回 SQL 数据操作语言 (DML) 语句的行数或 0。
int result = preparedstatement.executeUpdate();
5.关闭连接
preparedstatement.close();
异同点
| PreparedStatement | Statement | |
|---|---|---|
| 安全性 | 安全(防止SQL注入) | 不安全(SQL注入) |
| 执行效率 | 高效(预编译) | 较低 |
| 使用效率 | 易于编写 | 不易编写 |
总结
PreparedStatement 可以有效防止 SQL 注入,你应该始终以 PreparedStatement 代替 Statement,也就是说,在任何时候都不要使用 Statement。
