java中Statement和PreparedStatement的区别

一、概述

“ Prepared Statement”是Statement的稍强版本，并且应始终至少与Statement一样快捷且易于处理。
准备好的语句可能已参数化

大多数关系数据库通过四个步骤来处理JDBC / SQL查询：

1. 解析传入的SQL查询
2. 编译SQL查询
3. 规划/优化数据采集路径
4. 执行优化的查询/获取并返回数据

对于发送到数据库的每个SQL查询，一个Statement将始终执行上述四个步骤。一条Prepared Statement预执行上述执行过程中的步骤（1）-（3）。因此，在创建Prepared Statement时，会立即执行一些预优化。这样做的目的是减轻执行时数据库引擎的负担。

现在我的问题是-“使用预处理语句还有其他好处吗？”

二、详解

优点PreparedStatement：

• SQL语句的预编译和数据库侧缓存可提高整体执行速度，并能够批量重用同一SQL语句。

• 通过内置对引号和其他特殊字符的转义，自动防止SQL注入 攻击。请注意，这要求您使用任何PreparedStatement setXxx()方法来设置值

  preparedStatement = connection.prepareStatement("INSERT INTO Person (name, email, birthdate, photo) VALUES (?, ?, ?, ?)");
  preparedStatement.setString(1, person.getName());
  preparedStatement.setString(2, person.getEmail());
  preparedStatement.setTimestamp(3, new Timestamp(person.getBirthdate().getTime()));
  preparedStatement.setBinaryStream(4, person.getPhoto());
  preparedStatement.executeUpdate();
  

  因此，不要通过字符串连接来内联SQL字符串中的值。

  preparedStatement = connection.prepareStatement("INSERT INTO Person (name, email) VALUES ('" + person.getName() + "', '" + person.getEmail() + "'");
  preparedStatement.executeUpdate();
  

• 简化的SQL字符串非标准的Java对象的设置，例如Date，Time，Timestamp，BigDecimal，InputStream（Blob）和Reader（Clob）。在大多数这些类型上，您不能toString()像在简单类型中那样“仅仅”执行a Statement。您甚至可以将其全部重构为PreparedStatement#setObject()在循环内部使用，如下面的实用程序方法所示：

  public static void setValues(PreparedStatement preparedStatement, Object... values) throws SQLException {
      for (int i = 0; i < values.length; i++) {
          preparedStatement.setObject(i + 1, values[i]);
      }
  }
  

  可以如下使用：

  preparedStatement = connection.prepareStatement("INSERT INTO Person (name, email, birthdate, photo) VALUES (?, ?, ?, ?)");
  setValues(preparedStatement, person.getName(), person.getEmail(), new Timestamp(person.getBirthdate().getTime()), person.getPhoto());
  preparedStatement.executeUpdate();