JDBC中Statement和PrepareStatement的区别

主要区别：

    Statement执行一条sql就得编译一次，PrepareStatement只编译一次；常用后者原因在于参数设置非常方便；执行一条sql就得编译一次，后者只编译一次；还有就是sql放置的位置不同; 常用后者原因在于参数设置非常方便；

 

 

特性：

    jdbc的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳：2002-02-05 20:56 或者 02/05/02 8:56 pm。

    通过使用java.sql.preparedstatement，这个问题可以自动解决。一个preparedstatement是从 java.sql.connection对象和所提供的sql字符串得到的，sql字符串中包含问号（?），这些问号标明变量的位置，然后提供变量的值， 最后执行语句，例如： 

stringsql = "select * from people p where p.id = ? and p.name = ?";

preparedstatement ps = connection.preparestatement(sql);

ps.setint(1,id);

ps.setstring(2,name);

resultset rs = ps.executequery();

 

   使用preparedstatement的另一个优点是字符串不是动态创建的。下面是一个动态创建字符串的例子： 

  stringsql = "select * from people p where p.i = "+id; 

  preparedstatement也提供数据库无关性。当显示声明的sql越少，那么潜在的sql语句的数据库依赖性就越小。

  由于preparedstatement具备很多优点，开发者可能通常都使用它，只有在完全是因为性能原因或者是在一行sql语句中没有变量的时候才使用通常的statement。

一个完整的preparedstatement的例子：

package jstarproject;

import java.sql.*;

public class mypreparedstatement {

private final string db_driver="com.microsoft.jdbc.sqlserver.sqlserverdriver";

private final string url = "jdbc:microsoft:sqlserver://127.0.0.1:1433;databasename=pubs";

  public mypreparedstatement() 

  {

  }

  public void query() throws sqlexception{

    connection conn = this.getconnection();

    string strsql = "select emp_id from employee where emp_id = ?";

    preparedstatement pstmt = conn.preparestatement(strsql);

    pstmt.setstring(1,"pma42628m");

    resultset rs = pstmt.executequery();

 

    while(rs.next()){

       string fname = rs.getstring("emp_id");

       system.out.println("the fname is " + fname);

    }

    rs.close();

    pstmt.close();

    conn.close();

  }

  private connection getconnection() throws sqlexception{

//    class.

    connection conn = null;

    try {

      class.forname(db_driver);

      conn = drivermanager.getconnection(url,"sa","sa");

    }

    catch (classnotfoundexception ex) {}

    return conn;

  }

  //main

  public static void main(string[] args) throws sqlexception {

    mypreparedstatement jdbctest1 = new mypreparedstatement();

    jdbctest1.query();

  }

}

 

 

为什么要始终使用PreparedStatement代替Statement?为什么要始终使用PreparedStatement代替Statement?

基于以下的原因:

一.代码的可读性和可维护性.

 

虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:

 

stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");

perstmt.setString(1,var1);

perstmt.setString(2,var2);

perstmt.setString(3,var3);

perstmt.setString(4,var4);

perstmt.executeUpdate();

 

二.PreparedStatement尽最大可能提高性能.

 

    每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么 下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个 Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以 直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:

 

  insert into tb_name (col1,col2) values ('11','22');

  insert into tb_name (col1,col2) values ('11','23');

 

    即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.

 

    当然并不是所以预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.

 

三.最重要的一点是极大地提高了安全性.

 

即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道.

String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";

如果我们把[' or '1' = '1]作为varpasswd传入进来.用户名随意,看看会成为什么?

 

select * from tb_name = '随意' and passwd = '' or '1' = '1';

因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者:

把[';drop table tb_name;]作为varpasswd传入进来,则:

select * from tb_name = '随意' and passwd = '';drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.

 

而如果你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.只要全使用预编译语句,你就用不着对传入的数据做任何过虑.而如果使用普通的statement,有可能要对drop,;等做费尽心机的判断和过虑

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1:创建时的区别： 

   Statement stm=con.createStatement(); 

   PreparedStatement pstm=con.prepareStatement(sql); 

执行的时候: 

    stm.execute(sql); 

    pstm.execute(); 

2: pstm一旦绑定了SQL,此pstm就不能执行其他的Sql，即只能执行一条SQL命令。 

stm可以执行多条SQL命令。 

3: 对于执行同构的sql（只有值不同，其他结构都相同）,用pstm的执行效率比较的高，对于异构的SQL语句，Statement的执行效率要高。 

4：当需要外部变量的时候，pstm的执行效率更高.

 

下面是一个statement的列子 ： 

Java代码 

package com.JDBC.proc; 

 

import java.sql.*; 

 

public class StatementTest { 

      

    public static void main(String args[]){ 

          

        Connection conn=null; 

        Statement stm=null; 

        ResultSet rs=null; 

          

        try { 

            conn=DBTool.getConnection(); 

            String sql="select EmpNo,EName from emp " + 

                    "where empNo=7499"; 

            stm=conn.createStatement(); 

            rs=stm.executeQuery(sql); 

            while(rs.next()){ 

                System.out.println(rs.getInt(1)+"---"+rs.getString(2)); 

            } 

        } catch (SQLException e) { 

            e.printStackTrace(); 

        } catch (Exception e) { 

 

            e.printStackTrace(); 

        }finally{ 

            DBTool.release(rs, stm, conn); 

            } 

          

    } 

      

 

}

 

 

他的主要作用阐述Statement的用法。

 

下面是关于prepareStatement的列子： 

Java代码 

package com.JDBC.proc; 

 

import java.sql.*; 

public class PrepareStatement { 

      

    public static void main(String[] args){ 

          

        Connection conn=null; 

        PreparedStatement psmt=null; 

        ResultSet rs=null; 

          

        try { 

            conn=DBTool.getConnection(); 

            String sql="select EmpNo,Ename " + 

                    "from emp " + 

                    "where EmpNo=?"; 

            psmt=conn.prepareStatement(sql); 

            psmt.setInt(1, 7499); 

              

            rs=psmt.executeQuery(); 

            while(rs.next()){ 

                System.out.println(rs.getInt(1)+"---"+rs.getString(2)); 

                  

            } 

        } catch (SQLException e) { 

            // TODO Auto-generated catch block 

            e.printStackTrace(); 

        } catch (Exception e) { 

            e.printStackTrace(); 

        }finally{ 

            DBTool.release(rs, psmt, conn); 

        } 

          

    } 

 

}

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. 

PreparedStatement对象不仅包含了SQL语句，而且大多数情况下这个语句已经被预编译过，因而当其执行时，只需DBMS运行SQL语句，而不必先编译。当你需要执行Statement对象多次的时候，PreparedStatement对象将会大大降低运行时间，当然也加快了访问数据库的速度。这种转换也给你带来很大的便利，不必重复SQL语句的句法，而只需要更改其中变量的值，便可重新执行SQL语句。选择PreParedStatement对象与否，在于相同的句法的SQL语句是否执行了多次，而且两次之间的差别仅仅是变量不同，如果仅仅执行了一次的话，它应该和普通的对象毫无差异，体现不出她预编译的优越性。 

 

2.prepareStatement是把你的sql语句预先“编译”好，每次只替换定义的变量，   

  他的作用是减少与数据库的通信量，从而加快执行速度

3. 

prepareStatement已经予编译，速度比Statement快些   

  prepareStatement解决有关特殊字符插入到数据库的问题。如(',",),?) 

 

4. 

Statement   ─   由方法   createStatement   所创建。

Statement   对象用于发送简单的   SQL   语句。　   

PreparedStatement   ─   由方法   prepareStatement   所创建。

PreparedStatement   对象用于发送带有一个或多个输入参数（   IN   参数）的   SQL   语句。PreparedStatement   拥有一组方法，用于设置   IN   参数的值。执行语句时，这些   IN   参数将被送到数据库中。

PreparedStatement   的实例扩展了   Statement   ，因此它们都包括了   Statement   的方法。PreparedStatement   对象有可能比   Statement   对象的效率更高，因为它已被预编译过并存放在那以供将来使用。　   

 CallableStatement   ─   由方法   prepareCall   所创建。

CallableStatement   对象用于执行   SQL   储存程序   ─   一组可通过名称来调用（就象函数的调用那样）的   SQL   语句。

CallableStatement   对象从   PreparedStatement   中继承了用于处理   IN   参数的方法，而且还增加了用于处理   OUT   参数和   INOUT   参数

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

第一：

（1）prepareStatement会先初始化SQL，先把这个SQL提交到数据库中进行预处理，多次使用可提高效率。

（2）Statement不会初始化，没有预处理，每次都是从0开始执行SQL。

第二：

（1）prepareStatement可以替换变量

     在SQL语句中可以包含?,可以用ps = conn.prepareStatement("select * from Cust where ID=?");

     int sid = 1001;

     ps.setInt(1,sid);

     rs = ps.executeQuery();

     可以把?替换成变量。

（2）Statement 只能用 int sid = 1001;

     Statement stmt = conn.createStatement();

     ResultSet rs = stmt.executeQuery("select * from Cust where ID="+sid);来实现

 

 

PreparedStatement的这三处优点：

一、代码的可读性和可维护性；

二、高效性；

三、安全性。

 

 

 

 

 

 

 

 

 

 

 

 

 

1.Statement用于执行静态sql语句，在执行时，必须指定一个事先准备好的sql语句，也就是说sql语句是静态的。

2.PrepareStatement是预编译的sql语句对象，sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作，语句中可以包含动态参数“?”，在执行时可以为“?”动态设置参数值。

 

3.使用PrepareStatement对象执行sqll时，sql被数据库进行解析和编译，然后被放到命令缓冲区，每当执行同一个PrepareStatement对象时，它就会被解析一次，但不会被再次编译。在缓冲区可以发现预编译的命令，并且可以重用。

所以PrepareStatement可以减少编译次数提高数据库性能。