知优码

您现在的位置是:首页 > 开源项目 > 项目经验

项目经验

java中Statement和PreparedStatement的区别

2021-01-11项目经验
java中Statement和PreparedStatement的区别

一、概述

“ Prepared Statement”是Statement的稍强版本,并且应始终至少与Statement一样快捷且易于处理。
准备好的语句可能已参数化

大多数关系数据库通过四个步骤来处理JDBC / SQL查询:

  1. 解析传入的SQL查询
  2. 编译SQL查询
  3. 规划/优化数据采集路径
  4. 执行优化的查询/获取并返回数据

对于发送到数据库的每个SQL查询,一个Statement将始终执行上述四个步骤。一条Prepared Statement预执行上述执行过程中的步骤(1)-(3)。因此,在创建Prepared Statement时,会立即执行一些预优化。这样做的目的是减轻执行时数据库引擎的负担。

现在我的问题是-“使用预处理语句还有其他好处吗?”

二、详解

优点PreparedStatement

  • SQL语句的预编译和数据库侧缓存可提高整体执行速度,并能够批量重用同一SQL语句。

  • 通过内置对引号和其他特殊字符的转义,自动防止SQL注入 攻击。请注意,这要求您使用任何PreparedStatement setXxx()方法来设置值

    preparedStatement = connection.prepareStatement("INSERT INTO Person (name, email, birthdate, photo) VALUES (?, ?, ?, ?)");
    preparedStatement.setString(1, person.getName());
    preparedStatement.setString(2, person.getEmail());
    preparedStatement.setTimestamp(3, new Timestamp(person.getBirthdate().getTime()));
    preparedStatement.setBinaryStream(4, person.getPhoto());
    preparedStatement.executeUpdate();
    

    因此,不要通过字符串连接来内联SQL字符串中的值。

    preparedStatement = connection.prepareStatement("INSERT INTO Person (name, email) VALUES ('" + person.getName() + "', '" + person.getEmail() + "'");
    preparedStatement.executeUpdate();
    
  • 简化的SQL字符串非标准的Java对象的设置,例如DateTimeTimestampBigDecimalInputStreamBlob)和ReaderClob)。在大多数这些类型上,您不能toString()像在简单类型中那样“仅仅”执行a Statement您甚至可以将其全部重构为PreparedStatement#setObject()在循环内部使用,如下面的实用程序方法所示:

    public static void setValues(PreparedStatement preparedStatement, Object... values) throws SQLException {
        for (int i = 0; i < values.length; i++) {
            preparedStatement.setObject(i + 1, values[i]);
        }
    }
    

    可以如下使用:

    preparedStatement = connection.prepareStatement("INSERT INTO Person (name, email, birthdate, photo) VALUES (?, ?, ?, ?)");
    setValues(preparedStatement, person.getName(), person.getEmail(), new Timestamp(person.getBirthdate().getTime()), person.getPhoto());
    preparedStatement.executeUpdate();