PreparedStatement与Statement区别

1、PreparedStatement是预编译的，对于批量处理可以大大提高效率，也教JDBC存储过程。

2、Statement每次执行sql语句，相关数据库都要执行sql语句的编译，PreparedStatement是预编译的，preparedstatement支持批处

理，每一种数据库都会尽最大努力对预编译语句提供最大的性能优化，因为预编译语句有可能被重复调用，所以语句在背DB的编译

器编译后的执行代码被缓存下来，那么下次调用时只要是相同的预编译语句就不需要编译，只需将参数直接传入编译过的语句执行

代码中就会得到执行

3、代码的可读性和可维护性

代码1

Statement state = con.createStatement();
		state.executeUpdate("insert into tab(id,name,address) values('"+id+"','"+name+"','"+address+"')");

代码2

pst = con.prepareStatement("insert into tab(id,name,address) values(?,?,?)");
			pst.setString(1, id);
			pst.setString(2, name);
			pst.setString(3, address);

虽然用PreparedStatement来代替Statement会使代码多出几行，但这样的代码无论从可读性还是可维护性上来说 都比直接用

Statement的代码要好很多。

4、最重要的一点是安全性

我们首先使用Statement

ResultSet rs = state.executeQuery("select * from tb_usertable where username='"+u+"'and password='"+p+"'"); 

如果我们把 [ ' or '1' = '1] 作为password传入进来，用户名随意，看看会有什么效果

select * from tb_usertable where name='"+myname+"'and password='1'or'1'='1' 

这样构造成的sql语句中因为'1' = '1'肯定成立，所以可以通过任何验证

 

解决的办法可以使用PreparedStatement

pst = con.prepareStatement("select * from tb_usertable where username = ? and password = ?");
			pst.setString(1, username);
			pst.setString(2, password);

这样代码修改后不仅提供了效率，同时也达到了攻击的目的