Statement和PreparedStatement的异同
1.首先两个都是java向数据库执行sql语句的对象!
java代码连接数据库,并且执行sql语句的步骤如下:
//1.注册数据库的驱动程序
Class.forName(driverClass);
/2/获得数据库的连接
conn=DriverManager.getConnection(url,username,password);
//3创建sql执行对象
Statement stmt=conn.createStatement();
//执行sql语句返回执行结果集rs
ResultSet rs=stmt.executeQuery(sql);
Statement 对象用于将 SQL 语句发送到数据库中。实际上有三种 Statement 对象,它们都作为在给定连接上执行 SQL语句的包容器:Statement、PreparedStatement(它从 Statement 继承而来)和CallableStatement(它从 PreparedStatement 继承而来)。它们都专用于发送特定类型的 SQL 语句:Statement 对象用于执行不带参数的简单 SQL 语句;PreparedStatement 对象用于执行带或不带参数的预编译 SQL 语句;CallableStatement 对象用于执行对数据库已存储过程的调用。
综上所述,总结如下:Statement每次执行sql语句,数据库都要执行sql语句的编译,最好用于仅执行一次查询并返回结果的情形,效率高于PreparedStatement.但存在sql注入风险。PreparedStatement是预编译执行的。在执行可变参数的一条SQL时,PreparedStatement要比Statement的效率高,因为DBMS预编译一条SQL当然会比多次编译一条SQL的效率高。安全性更好,有效防止SQL注入的问题。对于多次重复执行的语句,使用Prepared
Statement效率会更高一点。执行SQL语句是可以带参数的,并支持批量执行SQL。由于采用了Cache机制,则预编译的语句,就会放在Cache中,下次执行相同的SQL语句时,则可以直接从Cache中取出来。
示例:PreparedStatement
public void save(Stu s) {
//定义要执行的sql
String sql="insert into person(id,name,age) values(?,?,?)";
DBUtil util=new DBUtil();
//得到连接
Connection conn=util.getConnection();
try {
//创建sql执行对象
PreparedStatement psmt=conn.prepareStatement(sql);
psmt.setInt(1, s.getId() );
psmt.setString(2, s.getName() );
psmt.setInt(3, s.getAge());
psmt.executeUpdate();
} catch (SQLException e) {
e.printStackTrace();
}finally {
util.close(conn);
}
}
示例:Statement
public List list() {
//定义要执行的sql
String sql="select id,name,age from person";
DBUtil util=new DBUtil();
//得到连接
Connection conn=util.getConnection();
try {
//创建sql执行对象
java.sql.Statement stmt=conn.createStatement();
//拿到查询的结果集rs
ResultSet rs=stmt.executeQuery(sql);
//定义一个数组,把结果放进去
List list=new ArrayList();
while(rs.next()) {
int id=rs.getInt(1);
String name=rs.getString(2);
int age=rs.getInt(3);
Stu s=new Stu();
s.setId(id);
s.setName(name);
s.setAge(age);
list.add(s);
}
return list;
} catch (SQLException e) {
e.printStackTrace();
}finally {
util.close(conn);
}
return null;
}