Statement和PreparedStatement的区别/PreparedStatement和Statement比较的优点

Statement 和 PreparedStatement之间的关系和区别.
关系：PreparedStatement继承自Statement,都是接口
区别：PreparedStatement可以使用占位符，是预编译的，批处理比Statement效率高

为什么使用 PreparedStatement？

在使用 PreparedStatement之前我们来看一下使用Statement的一个缺点

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.Scanner;
public class exercises5 {public static void main(String[] args) throws Exception{Class.forName("com.mysql.jdbc.Driver");Connection conn=DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/epet?characterEncoding=utf8","root","");Scanner input=new Scanner(System.in);System.out.println("请输入用户名：");String name=input.next();System.out.println("请输入密码：");String pass=input.next();String sql="select * from master where `name`=? and password=?";PreparedStatement ps=conn.prepareStatement(sql);ps.setString(1,name);ps.setString(2,pass);ResultSet rs=ps.executeQuery();System.out.println(sql);if(rs.next()){System.out.println("登录成功，欢迎你！");}else{System.out.println("登录失败！");}}
}

如果输入正确，输出登陆成功，否则输出登录失败。如图：

但是我们输入了精心设计的内容，即时姓名和密码都是错误的，仍然可以显示登录成功

这是因为在使用Statement接口方法时我们需要进行sql语句的拼接，我们这样拼接不仅麻烦而且很容易出错。这就是网上典型的SQL注入攻击

这个时候使用PreparedStatement接口就不存在这个问题了

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.util.Scanner;
public class exercises5 {public static void main(String[] args) throws Exception{Class.forName("com.mysql.jdbc.Driver");Connection conn=DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/epet?characterEncoding=utf8","root","");Scanner input=new Scanner(System.in);System.out.println("请输入用户名：");String name=input.next();System.out.println("请输入密码：");String pass=input.next();String sql="select * from master where `name`=? and password=?";PreparedStatement ps=conn.prepareStatement(sql);ps.setString(1,name);ps.setString(2,pass);System.out.println(sql);if(ps.execute()) System.out.println("登录成功，欢迎你！");else System.out.println("登录失败！");}
}

如果输入正确，输出登陆成功，否则输出登录失败。如图：

当我们密码输入错误的时候

由此我们可以总结出 PreparedStatement相对于Statement的优点

提高了代码的可读性和可维护性
提高了sql语句执行性能
提高了安全性

Statement和PreparedStatement的区别/PreparedStatement和Statement比较的优点相关推荐

Statement与PreparedStatement的区别
Statement与PreparedStatement的区别 PreparedStatement预编译SQL语句,性能好. PreparedStatement无序拼接SQL语句,编程更简单. Prep ...
JDBC中Statement与PreparedStatement的区别
http://www.blogjava.net/redcoatjk/archive/2012/07/20/383583.html 1. statement每次执行sql语句,相关数据库都要执行sql语 ...
数据库SQL Server2012笔记（八）——Statement与PreparedStatement的区别，JDBC方式操作数据库...
1.Statement与PreparedStatement的区别 1)都可用于把sql语句从java程序中发送到制定数据库,并执行sql语句. 2)区别直接使用Statement,驱动程序一般不 ...
浅析Statement和PreparedStatement的区别
当我们使用java程序来操作sql server时会使用到Statement和PreparedStatement,俩者都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句.那么如何 ...
Statement和PreparedStatement的区别及联系
两者之间的联系: Statement和PreparedStatement两者都是用来执行SQL查询语句的API之一 PreparedStatement接口继承了Statement接口两者之间的区别: ...
java Statement与preparedStatement的区别
1.数据库执行preparedStatement的时候会预编译,下次再执行此sql语句的时候,数据库端将不会再进行预编译了,而直接去数据库的缓存区,提高访问的效率. 2.在任何时候都不要使用State ...
JDBC中的Statement和PreparedStatement的区别
PreparedStatement是什么?PreparedStatement是java.sql包下面的一个接口,用来执行SQL语句查询,通过调用connection.preparedStatement ...
Statement和PreStatement的区别以及 #{}和${}的区别
一.语法 prepareStatement在mybatis中获取的时候,就已经完成预编译,和用ParameterHandler 设置参数了,后面用它来执行sql语句,只剩执行了预编译是需要mysql ...
statement和prepareStatement的区别
一.语法两者的语法区别 statement语法 Statement stmt = connect.createStatement(); String sql= "SELECT * FROM ...

Statement和PreparedStatement的区别/PreparedStatement和Statement比较的优点

Statement和PreparedStatement的区别/PreparedStatement和Statement比较的优点相关推荐

最新文章

热门文章