`
macbin
  • 浏览: 8149 次
  • 性别: Icon_minigender_1
  • 来自: 厦门
社区版块
存档分类
最新评论

由数据库对sql的执行说JDBC的Statement和PreparedStatement

阅读更多
1.每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.

2.PreparedStatement在conn.prepareStatement(sql)时就把sql语句传给它,这样它会在数据库端进行预编译(包含占位符),下次execute或者executeQuery时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行。其实这并不是说只有一个Connection中多次执行的预编译语句被缓存,这是PreparedStatement借助数据库的编译sql语句的原理来实现的优先做法而已。
  Statement在conn.createStatement()时不传sql语句,而是在execute或者executeQuery时传过去死的sql语句。这样使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.
 
3.使用Statement要给它传死的拼接的sql语句,其实这样做是很不安全的,有发生恶意sql语句注入的危险。比如:
  String sql="select * from t_user where name='zhangs' and passwd='zhangs123'"
  而我恶意给你注入一个"or 1=1",就成了
  String sql="select * from t_user where name='zhangs' and passwd='zhangs123' or 1=1"
  这样,你的密码就失去了功效。
  
  小结,PreparedStatement在使用上的优势是显而易见的,当然,它的开销会比Statement达一些,但我觉得功能第一,任何情况下还是首选PreparedStatement。
   下面是我分别用两个Statement和PreparedStatement写的用来增删改查的操作:
/** 
* Statement是先用Connection得到一个空的执行器,在执行的时候给它传拼好的死的sql 
* @author Administrator 

*/
 
public class StatementCRUDtest { 

  /** 
    * 操作表jdbc_users 
    * @param args 
    */
 
  public static void main(String[] args) { 
    User u=new User(); 
    u.setId(45); 
    u.setName("statement"); 
    u.setPasswd("yf123"); 
    u.setPhone("13821930"); 
    u.setEmail("yf@163.com"); 
    //insert(u); 
     
    //delete(2); 
     
    //reset(u); 
     
    System.out.println(getById(45)); 
  } 
  /**增*/ 
  public static void insert(User user){ 
    Connection conn=null
    Statement stmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      stmt=conn.createStatement();//Statement创建时就是一个空的执行器 
      /**在execute或者executeQuery时执行死的sql语句*/ 
      /**这只能是拼好的字符串,而不能动态的传参数,并且在数据库中每次肯定穿的是不同的sql语句,因此每次都要解析编译*/ 
      stmt.execute("insert into jdbc_users values ("+user.getId()+",'"+user.getName()+"','"+user.getPasswd()+"','"+user.getPhone()+"','"+user.getEmail()+"')"); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(stmt!=null){try{stmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**删*/ 
  public static void delete(Integer id){ 
    Connection conn=null
    Statement stmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      stmt=conn.createStatement();//Statement创建时就是一个空的执行器 
      /**在execute或者executeQuery时执行死的sql语句*/ 
      /**这只能是拼好的字符串,而不能动态的传参数,并且在数据库中每次肯定穿的是不同的sql语句,因此每次都要解析编译*/ 
      stmt.execute("delete from jdbc_users where id="+id); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(stmt!=null){try{stmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**改*/ 
  public static void reset(User user){ 
    Connection conn=null
    Statement stmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      stmt=conn.createStatement();//Statement创建时就是一个空的执行器 
      /**在execute或者executeQuery时执行死的sql语句*/ 
      /**这只能是拼好的字符串,而不能动态的传参数,并且在数据库中每次肯定穿的是不同的sql语句,因此每次都要解析编译*/ 
      String sql="update jdbc_users set name='"+user.getName()+"',passwd='"+user.getPasswd()+"',phone='"+user.getPhone()+"',email='"+user.getEmail()+"' where id="+user.getId(); 
      System.out.println(sql); 
      stmt.execute(sql); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(stmt!=null){try{stmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**查*/ 
  public static User getById(Integer id){ 
    Connection conn=null
    Statement stmt=null
    ResultSet rs=null
    User u=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      stmt=conn.createStatement();//Statement创建时就是一个空的执行器 
      /**在execute或者executeQuery时执行死的sql语句*/ 
      /**这只能是拼好的字符串,而不能动态的传参数,并且在数据库中每次肯定穿的是不同的sql语句,因此每次都要解析编译*/ 
      String sql="select * from jdbc_users where id="+id; 
      System.out.println(sql); 
      rs=stmt.executeQuery(sql); 
      while(rs.next()){ 
        u=new User(); 
        u.setId(rs.getInt("id")); 
        u.setName(rs.getString("name")); 
        u.setPhone(rs.getString("phone")); 
        u.setPasswd(rs.getString("passwd")); 
        u.setEmail(rs.getString("email")); 
      } 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(stmt!=null){try{stmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
    return u; 
  } 
/** 
* PreparedStatement是在创建pstm的时候就给它传一个动态的sql,参数是通过pstm设置的。执行时,只需要空执行一下就可以. 
* @author Administrator 

*/
 
public class PreparedStatementCRUDtest { 

  /** 
    * 操作表jdbc_users 
    * @param args 
    */
 
  public static void main(String[] args) { 
    User u=new User(); 
    u.setId(21); 
    u.setName("statement"); 
    u.setPasswd("yf123"); 
    u.setPhone("13821930"); 
    u.setEmail("yf@163.com"); 
    //insert(u); 
     
    //delete(42); 
     
    //reset(u); 
     
    System.out.println(getById(21)); 
  } 
  /**增*/ 
  public static void insert(User user){ 
    Connection conn=null
    PreparedStatement pstmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      String sql="insert into jdbc_users values(?,?,?,?,?)"
      pstmt=conn.prepareStatement(sql);//PreparedStatement创建时就传过去一个sql语句,这样就可以预编译 
      /**然后设置sql中好占位符的值,这里是动态的传参数*/ 
      pstmt.setInt(1, user.getId()); 
      pstmt.setString(2, user.getName()); 
      pstmt.setString(3, user.getPasswd()); 
      pstmt.setString(4, user.getPhone()); 
      pstmt.setString(5, user.getEmail()); 
      /**设置好后,就全封装到pstm里了,只要空执行就可以了*/ 
      pstmt.execute(); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(pstmt!=null){try{pstmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**删*/ 
  public static void delete(Integer id){ 
    Connection conn=null
    PreparedStatement pstmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      String sql="delete from jdbc_users where id=?"
      /**PreparedStatement创建时就传过去一个sql语句,这样就可以预编译*/ 
      pstmt=conn.prepareStatement(sql); 
      /**然后设置sql中好占位符的值,这里是动态的传参数*/ 
      pstmt.setInt(1, id); 
      /**设置好后,就全封装到pstm里了,只要空执行就可以了*/ 
      pstmt.execute(); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(pstmt!=null){try{pstmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**改*/ 
  public static void reset(User u){ 
    Connection conn=null
    PreparedStatement pstmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      String sql="update jdbc_users set name=?,passwd=?,phone=?,email=? where id=?"
      /**PreparedStatement创建时就传过去一个sql语句,这样就可以预编译*/ 
      pstmt=conn.prepareStatement(sql); 
      /**然后设置sql中好占位符的值,这里是动态的传参数*/ 
      pstmt.setString(1, u.getName()); 
      pstmt.setString(2, u.getPasswd()); 
      pstmt.setString(3, u.getPhone()); 
      pstmt.setString(4, u.getEmail()); 
      pstmt.setInt(5, u.getId()); 
      /**设置好后,就全封装到pstm里了,只要空执行就可以了*/ 
      pstmt.execute(); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(pstmt!=null){try{pstmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**查*/ 
  public static User getById(Integer id){ 
    Connection conn=null
    PreparedStatement pstmt=null
    ResultSet rs=null
    User u=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      String sql="select * from jdbc_users where id=?"
      pstmt=conn.prepareStatement(sql);//Statement创建时就是一个空的执行器 
      /**在execute或者executeQuery时执行死的sql语句*/ 
      /**这只能是拼好的字符串,而不能动态的传参数,并且在数据库中每次肯定穿的是不同的sql语句,因此每次都要解析编译*/ 
      pstmt.setInt(1, id); 
      rs=pstmt.executeQuery(); 
      while(rs.next()){ 
        u=new User(); 
        u.setId(rs.getInt("id")); 
        u.setName(rs.getString("name")); 
        u.setPhone(rs.getString("phone")); 
        u.setPasswd(rs.getString("passwd")); 
        u.setEmail(rs.getString("email")); 
      } 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(pstmt!=null){try{pstmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
    return u; 
  } 
 
 
分享到:
评论

相关推荐

    Statement和PreparedStatement之间的区别

    Statement和PreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象执行的SQL语句是直接编译的,而...

    如何获得PreparedStatement最终执行的sql语句

    在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它用于预编译SQL语句,提高了数据库操作的效率和安全性。当我们处理大量重复的SQL操作时,使用`PreparedStatement`可以避免SQL注入等问题,同时提升...

    sql2008数据库的驱动程序 sqljdbc4

    标题中的"sql2008数据库的驱动程序 sqljdbc4"指的是Microsoft SQL Server 2008数据库使用的一种Java数据库连接(JDBC)驱动...但sqljdbc4.jar对于仍在使用Java 6和SQL Server 2008的项目来说,仍然是一个可靠的选择。

    sqljdbc和sqljdbc4 sqlserver最新驱动

    SQLJDBC和SQLJDBC4是Microsoft为Java应用程序提供的用于连接SQL Server数据库的驱动程序。这两个版本都是JDBC(Java Database Connectivity)驱动,允许Java开发者在应用程序中与SQL Server进行交互。下面将详细介绍...

    JAVA数据库驱动 SQLserver2000 JDBC驱动

    总的来说,Java数据库驱动和SQL Server 2000 JDBC驱动的配合使用,为开发者提供了一种灵活且高效的方式,可以在Java应用中访问和操作SQL Server 2000数据库,进行数据的增删改查等各种操作。而理解如何正确配置和...

    适用SQL Server 2016版本的数据库加载驱动包——sqljdbc42.jar

    在IT行业中,数据库是存储和管理数据的核心工具,而SQL Server 2016是由Microsoft开发的一款企业级的关系型数据库管理系统。它提供了高效的数据存储、查询、分析和安全功能,广泛应用于各种业务系统。在Java应用程序...

    数据库驱动sqljdbc4.0

    总的来说,SQLJDBC4.0驱动是Java开发者连接SQL Server的重要工具,尤其在JDK 1.6及更高版本环境下,它的性能和兼容性都得到了充分优化。确保正确地将其添加到项目中,并根据需求利用其丰富的特性,可以有效提升Java...

    java链接数据库jtds和sqljdbc

    这里我们将深入探讨使用JDBC(Java Database Connectivity)驱动程序jTDS和sqljdbc来连接到数据库的过程,以及它们各自的特点和使用场景。 首先,JDBC是Java平台的一个标准接口,它允许Java应用程序与各种类型的...

    适用SQL Server 2016版本的数据库加载驱动包jdbc

    总之,"sqljdbc"驱动包为Java开发者提供了连接SQL Server 2016的桥梁,通过遵循上述步骤,开发者可以轻松地在Java应用中实现对SQL Server 2016的数据存取,从而充分利用SQL Server的强大功能。在实际开发中,还应...

    sqlserver驱动包 jdbc驱动 sqljdbc.jar和sqljdbc4.jar

    首先,sqljdbc.jar和sqljdbc4.jar都是由微软官方提供的JDBC驱动程序,适用于不同版本的Java运行环境。sqljdbc.jar是适用于Java SE 6及以下版本的驱动,而sqljdbc4.jar则是为Java SE 7及以上版本设计的,它支持更多的...

    jdbc连接sqlserver数据库sqljdbc4.zip

    总之,`jdbc连接sqlserver数据库sqljdbc4.zip`是一个提供Java连接SQL Server能力的驱动包,通过引入`sqljdbc4.jar`,开发者可以在Java应用程序中轻松地执行SQL语句,进行数据操作和管理。这个驱动的免费性质使得更多...

    sql server驱动sqljdbc.jar和sqljdbc4.jar

    总的来说,sqljdbc.jar和sqljdbc4.jar是Java开发者连接SQL Server不可或缺的工具,选择合适的版本能确保你的应用能够高效、稳定地与数据库进行交互。理解它们的功能差异和使用方法,对于提升Java应用程序的数据库...

    SqlServer2005数据库JDBC驱动

    Sql Server 2005数据库JDBC驱动是用于在Java应用程序中连接...总的来说,Sql Server 2005的JDBC驱动为Java开发者提供了访问数据库的便捷途径,理解其工作原理和使用方法是开发高效、稳定、安全的Java数据库应用的关键。

    sqljdbc4.jar, sqljdbc41.jar, sqljdbc42.jar三个包

    总的来说,sqljdbc4.jar, sqljdbc41.jar, 和sqljdbc42.jar是Microsoft SQL Server与Java应用程序交互的重要工具,它们提供了在不同Java版本下的JDBC连接支持。正确选择和使用这些驱动,可以确保你的Java应用能够顺利...

    java jdk1.8 连接sqlserver数据库使用的扩展jar包-sqljdbc42

    总之,`sqljdbc42.jar`是Java连接SQL Server数据库的关键组件,特别是对于使用JDK 1.8的开发者来说。正确配置和使用这个驱动,能够确保Java应用顺利地与SQL Server进行数据交互。在实际开发中,还需要考虑错误处理、...

    SQL Server Management Studio连接数据库驱动包sqljdbc4

    总的来说,sqljdbc4.jar是连接Java应用与SQL Server数据库的关键组件,它简化了数据库操作并提供了高效的性能。正确配置和使用这个驱动包,能够帮助开发者实现强大的数据库功能,并确保Java应用程序能够顺利地与SQL ...

    sqljdbc_6.0

    标题“sqljdbc_6.0”指的是SQL Server的JDBC驱动程序的一个特定版本,这里为6.0。JDBC(Java Database Connectivity)是Java编程语言中用于与各种数据库交互的一套标准API。它允许Java开发者在应用程序中执行SQL语句...

    sql server2000 jdbc

    连接建立后,可以创建`Statement`或`PreparedStatement`对象来执行SQL查询和更新。例如,创建一个`PreparedStatement`并执行一个SELECT语句: ```java PreparedStatement pstmt = conn.prepareStatement("SELECT ...

    JDBC数据库

    4. **使用CallableStatement执行存储过程**:高效执行数据库的复杂操作。 5. **使用数据库的特性**:如索引、视图、分区等,提升查询效率。 总之,JDBC是Java程序员连接数据库的重要工具,通过合理的使用和优化,...

    SQL Server数据库所需的JDBC驱动Jar包.rar

    JDBC驱动是Java语言连接数据库的桥梁,它提供了一组接口和类,使得Java程序员可以使用标准的SQL语句来执行数据库操作。 标题中提到的"SQL Server数据库所需的JDBC驱动Jar包.rar"是一个压缩文件,其中包含了Java连接...

Global site tag (gtag.js) - Google Analytics