联系:
1.PreparedStatement继承自Statement,两者都是接口。
2.内部都要建立类似于Sockt连接,效率都不是特别高。
从资源利用和安全的角度区分两者的不同:
关于批处理时如何选择,以数据量大小位标准分三种情况:
1)量比较小,二者皆差别不大。
2)量比较多,在PreparedStatement预编译空间范围之内,选择PreparedStatement,因为其只预编译一次sql语句。
3)量特别大,使用Statement,因为PrepareStatement的预编译空间有限,当数据量特别大时,会发生异常。
特殊情况还有:执行不同的sql语句,批处理...等等 ,可以从消耗资源的角度再次分析。
批处理综合分析:
使用PreparedStatement代码演示:
在批处理过程中包含的sql语句的主干部分(sql语句)必须相同,改变的只是参数,因此编译一次sql语句即可,极大提高性能,但其主干必须相同则影响了灵活性。
复制代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48public static void main(String[] args) { 2 Connection conn = null; 3 Statement stat = null; 4 PreparedStatement ps = null; 5 6 try { 7 Class.forName("com.mysql.jdbc.Driver"); 8 conn = DriverManager.getConnection("jdbc:mysql:///mydb5","root","admin"); 9 //开始事务 10 conn.setAutoCommit(false); 11 String sql = "insert into tb_batch values (null,?)"; 12 ps = conn.prepareStatement(sql); 13 for(int i=2000;i<3000;i++){ 14 ps.setString(1, "tong"+i); 15 ps.addBatch(); 16 } 17 ps.executeBatch(); 18 //提交事务 19 conn.commit(); 22 } catch (Exception e) { 23 e.printStackTrace(); 24 }finally{ 25 JDBCutils.closeResou(conn, ps, null); 26 } 29 }
使用Statement代码演示:
可以包含结构不同的sql语句,灵活性得到提高,但没有预编译机制, 效率低下;并且你会发现发送的sql语句主干部分相同,只是参数不同, 但是主干部分每次都需要重复写入,极为麻烦。.
复制代码
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35Connection conn = null; 4 Statement stat = null; 5 //注册驱动和连接数据库 6 conn = JDBCutils.getConn(); 7 try { 8 stat = conn.createStatement(); 9 stat.addBatch("drop database if exists mydb5"); 10 stat.addBatch("create database mydb5"); 13 stat.addBatch("insert into tb_batch values(null,'a')"); 14 stat.addBatch("insert into tb_batch values(null,'bbb')"); 15 stat.addBatch("insert into tb_batch values(null,'cccccc')"); 16 stat.executeBatch(); 19 } catch (Exception e) { 20 e.printStackTrace(); 21 }finally{ 22 JDBCutils.closeResou(conn, stat, null); 23 } 24
从数据库安全的角度:
PreparedStatement可防止SQL注入。SQL注入情况如下所示:
复制代码
1
2
3
4//输入要删除的账户:'abc' or 1=1 String username="'abc' or 1=1" //等待用户输入的SQL语句 String sql=select * from user where username ='"+username+"';
可以发现输入密码时,已经属于非法输入
使用Statement 的话最后的sql语句则是如下所示:
复制代码
1select * from user where name = 'abc' or 1=1;
数据库容易被人恶意全部删除。
最后
以上就是内向汉堡最近收集整理的关于Statement和PrepareStatement的区别详解的全部内容,更多相关Statement和PrepareStatement内容请搜索靠谱客的其他文章。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复