`
macbin
  • 浏览: 8182 次
  • 性别: Icon_minigender_1
  • 来自: 厦门
社区版块
存档分类
最新评论

由数据库对sql的执行说JDBC的Statement和PreparedStatement

阅读更多
1.每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.

2.PreparedStatement在conn.prepareStatement(sql)时就把sql语句传给它,这样它会在数据库端进行预编译(包含占位符),下次execute或者executeQuery时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行。其实这并不是说只有一个Connection中多次执行的预编译语句被缓存,这是PreparedStatement借助数据库的编译sql语句的原理来实现的优先做法而已。
  Statement在conn.createStatement()时不传sql语句,而是在execute或者executeQuery时传过去死的sql语句。这样使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.
 
3.使用Statement要给它传死的拼接的sql语句,其实这样做是很不安全的,有发生恶意sql语句注入的危险。比如:
  String sql="select * from t_user where name='zhangs' and passwd='zhangs123'"
  而我恶意给你注入一个"or 1=1",就成了
  String sql="select * from t_user where name='zhangs' and passwd='zhangs123' or 1=1"
  这样,你的密码就失去了功效。
  
  小结,PreparedStatement在使用上的优势是显而易见的,当然,它的开销会比Statement达一些,但我觉得功能第一,任何情况下还是首选PreparedStatement。
   下面是我分别用两个Statement和PreparedStatement写的用来增删改查的操作:
/** 
* Statement是先用Connection得到一个空的执行器,在执行的时候给它传拼好的死的sql 
* @author Administrator 

*/
 
public class StatementCRUDtest { 

  /** 
    * 操作表jdbc_users 
    * @param args 
    */
 
  public static void main(String[] args) { 
    User u=new User(); 
    u.setId(45); 
    u.setName("statement"); 
    u.setPasswd("yf123"); 
    u.setPhone("13821930"); 
    u.setEmail("yf@163.com"); 
    //insert(u); 
     
    //delete(2); 
     
    //reset(u); 
     
    System.out.println(getById(45)); 
  } 
  /**增*/ 
  public static void insert(User user){ 
    Connection conn=null
    Statement stmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      stmt=conn.createStatement();//Statement创建时就是一个空的执行器 
      /**在execute或者executeQuery时执行死的sql语句*/ 
      /**这只能是拼好的字符串,而不能动态的传参数,并且在数据库中每次肯定穿的是不同的sql语句,因此每次都要解析编译*/ 
      stmt.execute("insert into jdbc_users values ("+user.getId()+",'"+user.getName()+"','"+user.getPasswd()+"','"+user.getPhone()+"','"+user.getEmail()+"')"); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(stmt!=null){try{stmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**删*/ 
  public static void delete(Integer id){ 
    Connection conn=null
    Statement stmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      stmt=conn.createStatement();//Statement创建时就是一个空的执行器 
      /**在execute或者executeQuery时执行死的sql语句*/ 
      /**这只能是拼好的字符串,而不能动态的传参数,并且在数据库中每次肯定穿的是不同的sql语句,因此每次都要解析编译*/ 
      stmt.execute("delete from jdbc_users where id="+id); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(stmt!=null){try{stmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**改*/ 
  public static void reset(User user){ 
    Connection conn=null
    Statement stmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      stmt=conn.createStatement();//Statement创建时就是一个空的执行器 
      /**在execute或者executeQuery时执行死的sql语句*/ 
      /**这只能是拼好的字符串,而不能动态的传参数,并且在数据库中每次肯定穿的是不同的sql语句,因此每次都要解析编译*/ 
      String sql="update jdbc_users set name='"+user.getName()+"',passwd='"+user.getPasswd()+"',phone='"+user.getPhone()+"',email='"+user.getEmail()+"' where id="+user.getId(); 
      System.out.println(sql); 
      stmt.execute(sql); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(stmt!=null){try{stmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**查*/ 
  public static User getById(Integer id){ 
    Connection conn=null
    Statement stmt=null
    ResultSet rs=null
    User u=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      stmt=conn.createStatement();//Statement创建时就是一个空的执行器 
      /**在execute或者executeQuery时执行死的sql语句*/ 
      /**这只能是拼好的字符串,而不能动态的传参数,并且在数据库中每次肯定穿的是不同的sql语句,因此每次都要解析编译*/ 
      String sql="select * from jdbc_users where id="+id; 
      System.out.println(sql); 
      rs=stmt.executeQuery(sql); 
      while(rs.next()){ 
        u=new User(); 
        u.setId(rs.getInt("id")); 
        u.setName(rs.getString("name")); 
        u.setPhone(rs.getString("phone")); 
        u.setPasswd(rs.getString("passwd")); 
        u.setEmail(rs.getString("email")); 
      } 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(stmt!=null){try{stmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
    return u; 
  } 
/** 
* PreparedStatement是在创建pstm的时候就给它传一个动态的sql,参数是通过pstm设置的。执行时,只需要空执行一下就可以. 
* @author Administrator 

*/
 
public class PreparedStatementCRUDtest { 

  /** 
    * 操作表jdbc_users 
    * @param args 
    */
 
  public static void main(String[] args) { 
    User u=new User(); 
    u.setId(21); 
    u.setName("statement"); 
    u.setPasswd("yf123"); 
    u.setPhone("13821930"); 
    u.setEmail("yf@163.com"); 
    //insert(u); 
     
    //delete(42); 
     
    //reset(u); 
     
    System.out.println(getById(21)); 
  } 
  /**增*/ 
  public static void insert(User user){ 
    Connection conn=null
    PreparedStatement pstmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      String sql="insert into jdbc_users values(?,?,?,?,?)"
      pstmt=conn.prepareStatement(sql);//PreparedStatement创建时就传过去一个sql语句,这样就可以预编译 
      /**然后设置sql中好占位符的值,这里是动态的传参数*/ 
      pstmt.setInt(1, user.getId()); 
      pstmt.setString(2, user.getName()); 
      pstmt.setString(3, user.getPasswd()); 
      pstmt.setString(4, user.getPhone()); 
      pstmt.setString(5, user.getEmail()); 
      /**设置好后,就全封装到pstm里了,只要空执行就可以了*/ 
      pstmt.execute(); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(pstmt!=null){try{pstmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**删*/ 
  public static void delete(Integer id){ 
    Connection conn=null
    PreparedStatement pstmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      String sql="delete from jdbc_users where id=?"
      /**PreparedStatement创建时就传过去一个sql语句,这样就可以预编译*/ 
      pstmt=conn.prepareStatement(sql); 
      /**然后设置sql中好占位符的值,这里是动态的传参数*/ 
      pstmt.setInt(1, id); 
      /**设置好后,就全封装到pstm里了,只要空执行就可以了*/ 
      pstmt.execute(); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(pstmt!=null){try{pstmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**改*/ 
  public static void reset(User u){ 
    Connection conn=null
    PreparedStatement pstmt=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      String sql="update jdbc_users set name=?,passwd=?,phone=?,email=? where id=?"
      /**PreparedStatement创建时就传过去一个sql语句,这样就可以预编译*/ 
      pstmt=conn.prepareStatement(sql); 
      /**然后设置sql中好占位符的值,这里是动态的传参数*/ 
      pstmt.setString(1, u.getName()); 
      pstmt.setString(2, u.getPasswd()); 
      pstmt.setString(3, u.getPhone()); 
      pstmt.setString(4, u.getEmail()); 
      pstmt.setInt(5, u.getId()); 
      /**设置好后,就全封装到pstm里了,只要空执行就可以了*/ 
      pstmt.execute(); 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(pstmt!=null){try{pstmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
  } 
    
  /**查*/ 
  public static User getById(Integer id){ 
    Connection conn=null
    PreparedStatement pstmt=null
    ResultSet rs=null
    User u=null
    try { 
      Class.forName("oracle.jdbc.driver.OracleDriver"); 
      //conn=DriverManager.getConnection("jdbc:oracle:thin:@localhost:1521:ORCL10","scott","yf123"); 
      conn = DriverManager.getConnection("jdbc:oracle:thin:@127.0.0.1:1521:ORCL10""SCOTT""yf123"); 
      String sql="select * from jdbc_users where id=?"
      pstmt=conn.prepareStatement(sql);//Statement创建时就是一个空的执行器 
      /**在execute或者executeQuery时执行死的sql语句*/ 
      /**这只能是拼好的字符串,而不能动态的传参数,并且在数据库中每次肯定穿的是不同的sql语句,因此每次都要解析编译*/ 
      pstmt.setInt(1, id); 
      rs=pstmt.executeQuery(); 
      while(rs.next()){ 
        u=new User(); 
        u.setId(rs.getInt("id")); 
        u.setName(rs.getString("name")); 
        u.setPhone(rs.getString("phone")); 
        u.setPasswd(rs.getString("passwd")); 
        u.setEmail(rs.getString("email")); 
      } 
    } catch (Exception e) { 
      e.printStackTrace(); 
    }finally
      if(pstmt!=null){try{pstmt.close();}catch(Exception e){}} 
      if(conn!=null){try{conn.close();}catch(Exception e){}} 
    } 
    return u; 
  } 
 
 
分享到:
评论

相关推荐

    Statement和PreparedStatement之间的区别

    Statement和PreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象执行的SQL语句是直接编译的,而...

    如何获得PreparedStatement最终执行的sql语句

    在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它用于预编译SQL语句,提高了数据库操作的效率和安全性。当我们处理大量重复的SQL操作时,使用`PreparedStatement`可以避免SQL注入等问题,同时提升...

    sql2008数据库的驱动程序 sqljdbc4

    标题中的"sql2008数据库的驱动程序 sqljdbc4"指的是Microsoft SQL Server 2008数据库使用的一种Java数据库连接(JDBC)驱动...但sqljdbc4.jar对于仍在使用Java 6和SQL Server 2008的项目来说,仍然是一个可靠的选择。

    sqljdbc和sqljdbc4 sqlserver最新驱动

    SQLJDBC和SQLJDBC4是Microsoft为Java应用程序提供的用于连接SQL Server数据库的驱动程序。这两个版本都是JDBC(Java Database Connectivity)驱动,允许Java开发者在应用程序中与SQL Server进行交互。下面将详细介绍...

    JAVA数据库驱动 SQLserver2000 JDBC驱动

    总的来说,Java数据库驱动和SQL Server 2000 JDBC驱动的配合使用,为开发者提供了一种灵活且高效的方式,可以在Java应用中访问和操作SQL Server 2000数据库,进行数据的增删改查等各种操作。而理解如何正确配置和...

    适用SQL Server 2016版本的数据库加载驱动包jdbc

    总之,"sqljdbc"驱动包为Java开发者提供了连接SQL Server 2016的桥梁,通过遵循上述步骤,开发者可以轻松地在Java应用中实现对SQL Server 2016的数据存取,从而充分利用SQL Server的强大功能。在实际开发中,还应...

    适用SQL Server 2016版本的数据库加载驱动包——sqljdbc42.jar

    在IT行业中,数据库是存储和管理数据的核心工具,而SQL Server 2016是由Microsoft开发的一款企业级的关系型数据库管理系统。它提供了高效的数据存储、查询、分析和安全功能,广泛应用于各种业务系统。在Java应用程序...

    数据库驱动sqljdbc4.0

    总的来说,SQLJDBC4.0驱动是Java开发者连接SQL Server的重要工具,尤其在JDK 1.6及更高版本环境下,它的性能和兼容性都得到了充分优化。确保正确地将其添加到项目中,并根据需求利用其丰富的特性,可以有效提升Java...

    java链接数据库jtds和sqljdbc

    这里我们将深入探讨使用JDBC(Java Database Connectivity)驱动程序jTDS和sqljdbc来连接到数据库的过程,以及它们各自的特点和使用场景。 首先,JDBC是Java平台的一个标准接口,它允许Java应用程序与各种类型的...

    sqlserver驱动包 jdbc驱动 sqljdbc.jar和sqljdbc4.jar

    首先,sqljdbc.jar和sqljdbc4.jar都是由微软官方提供的JDBC驱动程序,适用于不同版本的Java运行环境。sqljdbc.jar是适用于Java SE 6及以下版本的驱动,而sqljdbc4.jar则是为Java SE 7及以上版本设计的,它支持更多的...

    jdbc连接sqlserver数据库sqljdbc4.zip

    总之,`jdbc连接sqlserver数据库sqljdbc4.zip`是一个提供Java连接SQL Server能力的驱动包,通过引入`sqljdbc4.jar`,开发者可以在Java应用程序中轻松地执行SQL语句,进行数据操作和管理。这个驱动的免费性质使得更多...

    sql server驱动sqljdbc.jar和sqljdbc4.jar

    总的来说,sqljdbc.jar和sqljdbc4.jar是Java开发者连接SQL Server不可或缺的工具,选择合适的版本能确保你的应用能够高效、稳定地与数据库进行交互。理解它们的功能差异和使用方法,对于提升Java应用程序的数据库...

    SqlServer2005数据库JDBC驱动

    Sql Server 2005数据库JDBC驱动是用于在Java应用程序中连接...总的来说,Sql Server 2005的JDBC驱动为Java开发者提供了访问数据库的便捷途径,理解其工作原理和使用方法是开发高效、稳定、安全的Java数据库应用的关键。

    sqljdbc4.jar, sqljdbc41.jar, sqljdbc42.jar三个包

    总的来说,sqljdbc4.jar, sqljdbc41.jar, 和sqljdbc42.jar是Microsoft SQL Server与Java应用程序交互的重要工具,它们提供了在不同Java版本下的JDBC连接支持。正确选择和使用这些驱动,可以确保你的Java应用能够顺利...

    sqljdbc_6.0

    标题“sqljdbc_6.0”指的是SQL Server的JDBC驱动程序的一个特定版本,这里为6.0。JDBC(Java Database Connectivity)是Java编程语言中用于与各种数据库交互的一套标准API。它允许Java开发者在应用程序中执行SQL语句...

    SQL Server Management Studio连接数据库驱动包sqljdbc4

    总的来说,sqljdbc4.jar是连接Java应用与SQL Server数据库的关键组件,它简化了数据库操作并提供了高效的性能。正确配置和使用这个驱动包,能够帮助开发者实现强大的数据库功能,并确保Java应用程序能够顺利地与SQL ...

    sql server2000 jdbc

    连接建立后,可以创建`Statement`或`PreparedStatement`对象来执行SQL查询和更新。例如,创建一个`PreparedStatement`并执行一个SELECT语句: ```java PreparedStatement pstmt = conn.prepareStatement("SELECT ...

    JDBC数据库

    4. **使用CallableStatement执行存储过程**:高效执行数据库的复杂操作。 5. **使用数据库的特性**:如索引、视图、分区等,提升查询效率。 总之,JDBC是Java程序员连接数据库的重要工具,通过合理的使用和优化,...

    SQL Server数据库所需的JDBC驱动Jar包.rar

    JDBC驱动是Java语言连接数据库的桥梁,它提供了一组接口和类,使得Java程序员可以使用标准的SQL语句来执行数据库操作。 标题中提到的"SQL Server数据库所需的JDBC驱动Jar包.rar"是一个压缩文件,其中包含了Java连接...

    sqljdbc 1.0 3.0 4.0

    标题中的"sqljdbc 1.0 3.0 4.0"指的是Microsoft SQL Server JDBC Driver的不同版本。JDBC(Java Database Connectivity)是Java编程语言中用于与数据库交互的一种标准接口,由Sun Microsystems(现为Oracle公司)...

Global site tag (gtag.js) - Google Analytics