JDBC中PreparedStatement和Statement的区别

　共同点：

PreparedStatement和Statement都是用来执行SQL查询语句的API之一。

不同点：

在PreparedStatement中，当我们经常需要反复执行一条结构相似的sql语句，比如：

insert into table values(0,'first',1);
insert into table values(0,'second',2);

我们可以使用带占位符的sql来代替它：

insert into table values(0,?,?);

然后每次传入参数即可，但是Statement中是不允许使用占位符的，更没有带参数。而且更重要的是PreparedStatement会预编译sql语句，把预编译后的sql语句存在对象中，那么这样每次传入参数执行查询等操作会变得非常高效，也就是说PreparedStatement比Statement高效。PreparedStatement还提供了一系列的setXxx(int index, Xxx value)方法来传入参数。

PreparedStatement可以防止SQL注入式攻击：

（以下内容部分参考维基百科：http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A）

比如：某个网站的登录验证SQL查询代码为：

 

strSQL = "SELECT * FROM users WHERE name = '" + userName + "' and pw = '"+ passWord +"';"

 

恶意填入：

 

userName = "1' OR '1'='1";
passWord = "1' OR '1'='1";

 

那么最终SQL语句变成了：

strSQL = "SELECT * FROM users WHERE name = '1' OR '1'='1' and pw = '1' OR '1'='1';"

因为WHERE条件恒为真，这就相当于执行：

strSQL = "SELECT * FROM users;"

因此可以达到无账号密码亦可登录网站。

都已经登陆数据库了，后面想干啥还能让你控制么？

然而使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下，数据库不会将参数的内容视为SQL指令的一部分来处理，而是在数据库完成SQL指令的编译后，才套用参数运行，因此就算参数中含有破坏性的指令，也不会被数据库所运行。

 

本博客内容与代码均为作者Jarvis原创，如若转载请注明。