浅析 PreparedStatement 和 Statement

Statement

1.创建方法

Statement statement = conn.createStatement();

2.执行方法

// 执行查询操作 -> select
String sql = "select `name` from users where `id`=1";// 示例
statement.executeQuery(sql);
// 执行更新操作 -> insert、update、delete...
String sql = "delete from users where `id`=1";// 示例
statement.executeUpdate(sql);
// 执行任意数据库操作，不易封装，所以基本不使用。
String sql = "drop table users";// 示例
statement.execute(sql);

3.返回结果

// 返回 ResultSet，调用其 next() 方法取出执行结果。
ResultSet resultSet = statement.executeQuery(sql);
while (resultSet.next()) {
	dosomething...
}
// 返回 SQL 数据操作语言 (DML) 语句的行数或 0。
int result = statement.executeUpdate(sql);

4.关闭连接

statement.close();

PreparedStatement

1.创建方法

String sql = "select `name` from users where `id`=?";// 示例
// 需要预编译的 SQL，使用 ? 占位。
PreparedStatement preparedstatement = conn.prepareStatement(sql);

2.传入参数

// 按照预编译 SQL 中 ? 的顺序和类型传入，parameterIndex从 1 开始。 
preparedstatement.setInt(int parameterIndex, int x);
preparedstatement.setString(int parameterIndex, String x);
...

3.执行方法

// 因为上一步已经传入参数，所以执行不需要传参。
// 执行查询操作 -> select
preparedstatement.executeQuery();
// 执行更新操作 -> insert、update、delete...
preparedstatement.executeUpdate();
// 执行任意数据库操作，不易封装，所以基本不使用。
preparedstatement.execute();

4.返回结果

// 返回 ResultSet，调用其 next() 方法取出执行结果。
ResultSet resultSet = preparedstatement.executeQuery();
while (resultSet.next()) {
	dosomething...
}

// 返回 SQL 数据操作语言 (DML) 语句的行数或 0。
int result = preparedstatement.executeUpdate();

5.关闭连接

preparedstatement.close();

异同点

	PreparedStatement	Statement
安全性	安全(防止SQL注入)	不安全(SQL注入)
执行效率	高效(预编译)	较低
使用效率	易于编写	不易编写

总结

  PreparedStatement 可以有效防止 SQL 注入，你应该始终以 PreparedStatement 代替 Statement，也就是说，在任何时候都不要使用 Statement。