`
yanguz123
  • 浏览: 568101 次
  • 性别: Icon_minigender_1
  • 来自: 杭州
社区版块
存档分类
最新评论

JDBC中Statement和PrepareStatement的区别

 
阅读更多

主要区别:

    Statement执行一条sql就得编译一次,PrepareStatement只编译一次;常用后者原因在于参数设置非常方便;执行一条sql就得编译一次,后者只编译一次;还有就是sql放置的位置不同; 常用后者原因在于参数设置非常方便;

 

 

特性:

    jdbc的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。

    通过使用java.sql.preparedstatement,这个问题可以自动解决。一个preparedstatement是从 java.sql.connection对象和所提供的sql字符串得到的,sql字符串中包含问号(?),这些问号标明变量的位置,然后提供变量的值, 最后执行语句,例如: 

stringsql = "select * from people p where p.id = ? and p.name = ?";

preparedstatement ps = connection.preparestatement(sql);

ps.setint(1,id);

ps.setstring(2,name);

resultset rs = ps.executequery();

 

   使用preparedstatement的另一个优点是字符串不是动态创建的。下面是一个动态创建字符串的例子: 

  stringsql = "select * from people p where p.i = "+id; 

  preparedstatement也提供数据库无关性。当显示声明的sql越少,那么潜在的sql语句的数据库依赖性就越小。

  由于preparedstatement具备很多优点,开发者可能通常都使用它,只有在完全是因为性能原因或者是在一行sql语句中没有变量的时候才使用通常的statement。

一个完整的preparedstatement的例子:

package jstarproject;

import java.sql.*;

public class mypreparedstatement {

private final string db_driver="com.microsoft.jdbc.sqlserver.sqlserverdriver";

private final string url = "jdbc:microsoft:sqlserver://127.0.0.1:1433;databasename=pubs";

  public mypreparedstatement() 

  {

  }

  public void query() throws sqlexception{

    connection conn = this.getconnection();

    string strsql = "select emp_id from employee where emp_id = ?";

    preparedstatement pstmt = conn.preparestatement(strsql);

    pstmt.setstring(1,"pma42628m");

    resultset rs = pstmt.executequery();

 

    while(rs.next()){

       string fname = rs.getstring("emp_id");

       system.out.println("the fname is " + fname);

    }

    rs.close();

    pstmt.close();

    conn.close();

  }

  private connection getconnection() throws sqlexception{

//    class.

    connection conn = null;

    try {

      class.forname(db_driver);

      conn = drivermanager.getconnection(url,"sa","sa");

    }

    catch (classnotfoundexception ex) {}

    return conn;

  }

  //main

  public static void main(string[] args) throws sqlexception {

    mypreparedstatement jdbctest1 = new mypreparedstatement();

    jdbctest1.query();

  }

}

 

 

为什么要始终使用PreparedStatement代替Statement?为什么要始终使用PreparedStatement代替Statement?

基于以下的原因:

一.代码的可读性和可维护性.

 

虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:

 

stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");

perstmt.setString(1,var1);

perstmt.setString(2,var2);

perstmt.setString(3,var3);

perstmt.setString(4,var4);

perstmt.executeUpdate();

 

二.PreparedStatement尽最大可能提高性能.

 

    每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么 下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个 Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以 直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:

 

  insert into tb_name (col1,col2) values ('11','22');

  insert into tb_name (col1,col2) values ('11','23');

 

    即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.

 

    当然并不是所以预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.

 

三.最重要的一点是极大地提高了安全性.

 

即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道.

String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";

如果我们把[' or '1' = '1]作为varpasswd传入进来.用户名随意,看看会成为什么?

 

select * from tb_name = '随意' and passwd = '' or '1' = '1';

因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者:

把[';drop table tb_name;]作为varpasswd传入进来,则:

select * from tb_name = '随意' and passwd = '';drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.

 

而如果你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.只要全使用预编译语句,你就用不着对传入的数据做任何过虑.而如果使用普通的statement,有可能要对drop,;等做费尽心机的判断和过虑

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1:创建时的区别: 

   Statement stm=con.createStatement(); 

   PreparedStatement pstm=con.prepareStatement(sql); 

执行的时候: 

    stm.execute(sql); 

    pstm.execute(); 

2: pstm一旦绑定了SQL,此pstm就不能执行其他的Sql,即只能执行一条SQL命令。 

stm可以执行多条SQL命令。 

3: 对于执行同构的sql(只有值不同,其他结构都相同),用pstm的执行效率比较的高,对于异构的SQL语句,Statement的执行效率要高。 

4:当需要外部变量的时候,pstm的执行效率更高.

 

下面是一个statement的列子 : 

Java代码 

package com.JDBC.proc; 

 

import java.sql.*; 

 

public class StatementTest { 

      

    public static void main(String args[]){ 

          

        Connection conn=null; 

        Statement stm=null; 

        ResultSet rs=null; 

          

        try { 

            conn=DBTool.getConnection(); 

            String sql="select EmpNo,EName from emp " + 

                    "where empNo=7499"; 

            stm=conn.createStatement(); 

            rs=stm.executeQuery(sql); 

            while(rs.next()){ 

                System.out.println(rs.getInt(1)+"---"+rs.getString(2)); 

            } 

        } catch (SQLException e) { 

            e.printStackTrace(); 

        } catch (Exception e) { 

 

            e.printStackTrace(); 

        }finally{ 

            DBTool.release(rs, stm, conn); 

            } 

          

    } 

      

 

}

 

 

他的主要作用阐述Statement的用法。

 

下面是关于prepareStatement的列子: 

Java代码 

package com.JDBC.proc; 

 

import java.sql.*; 

public class PrepareStatement { 

      

    public static void main(String[] args){ 

          

        Connection conn=null; 

        PreparedStatement psmt=null; 

        ResultSet rs=null; 

          

        try { 

            conn=DBTool.getConnection(); 

            String sql="select EmpNo,Ename " + 

                    "from emp " + 

                    "where EmpNo=?"; 

            psmt=conn.prepareStatement(sql); 

            psmt.setInt(1, 7499); 

              

            rs=psmt.executeQuery(); 

            while(rs.next()){ 

                System.out.println(rs.getInt(1)+"---"+rs.getString(2)); 

                  

            } 

        } catch (SQLException e) { 

            // TODO Auto-generated catch block 

            e.printStackTrace(); 

        } catch (Exception e) { 

            e.printStackTrace(); 

        }finally{ 

            DBTool.release(rs, psmt, conn); 

        } 

          

    } 

 

}

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

1. 

PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。这种转换也给你带来很大的便利,不必重复SQL语句的句法,而只需要更改其中变量的值,便可重新执行SQL语句。选择PreParedStatement对象与否,在于相同的句法的SQL语句是否执行了多次,而且两次之间的差别仅仅是变量不同,如果仅仅执行了一次的话,它应该和普通的对象毫无差异,体现不出她预编译的优越性。 

 

2.prepareStatement是把你的sql语句预先“编译”好,每次只替换定义的变量,   

  他的作用是减少与数据库的通信量,从而加快执行速度

3. 

prepareStatement已经予编译,速度比Statement快些   

  prepareStatement解决有关特殊字符插入到数据库的问题。如(',",),?) 

 

4. 

Statement   ─   由方法   createStatement   所创建。

Statement   对象用于发送简单的   SQL   语句。    

PreparedStatement   ─   由方法   prepareStatement   所创建。

PreparedStatement   对象用于发送带有一个或多个输入参数(   IN   参数)的   SQL   语句。PreparedStatement   拥有一组方法,用于设置   IN   参数的值。执行语句时,这些   IN   参数将被送到数据库中。

PreparedStatement   的实例扩展了   Statement   ,因此它们都包括了   Statement   的方法。PreparedStatement   对象有可能比   Statement   对象的效率更高,因为它已被预编译过并存放在那以供将来使用。    

 CallableStatement   ─   由方法   prepareCall   所创建。

CallableStatement   对象用于执行   SQL   储存程序   ─   一组可通过名称来调用(就象函数的调用那样)的   SQL   语句。

CallableStatement   对象从   PreparedStatement   中继承了用于处理   IN   参数的方法,而且还增加了用于处理   OUT   参数和   INOUT   参数

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

第一:

(1)prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。

(2)Statement不会初始化,没有预处理,每次都是从0开始执行SQL。

第二:

(1)prepareStatement可以替换变量

     在SQL语句中可以包含?,可以用ps = conn.prepareStatement("select * from Cust where ID=?");

     int sid = 1001;

     ps.setInt(1,sid);

     rs = ps.executeQuery();

     可以把?替换成变量。

(2)Statement 只能用 int sid = 1001;

     Statement stmt = conn.createStatement();

     ResultSet rs = stmt.executeQuery("select * from Cust where ID="+sid);来实现

 

 

PreparedStatement的这三处优点:

一、代码的可读性和可维护性;

二、高效性;

三、安全性。

 

 

 

 

 

 

 

 

 

 

 

 

 

1.Statement用于执行静态sql语句,在执行时,必须指定一个事先准备好的sql语句,也就是说sql语句是静态的。

2.PrepareStatement是预编译的sql语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句中可以包含动态参数“?”,在执行时可以为“?”动态设置参数值。

 

3.使用PrepareStatement对象执行sqll时,sql被数据库进行解析和编译,然后被放到命令缓冲区,每当执行同一个PrepareStatement对象时,它就会被解析一次,但不会被再次编译。在缓冲区可以发现预编译的命令,并且可以重用。

所以PrepareStatement可以减少编译次数提高数据库性能。

分享到:
评论

相关推荐

    JDBC(用PrepareStatement实现)

    **JDBC(用PrepareStatement实现)** Java Database Connectivity (JDBC) 是Java平台中的一个标准API,用于在Java应用程序和各种数据库之间建立桥梁。它允许Java开发者执行SQL语句,进行数据查询、更新和删除等操作。...

    JDBC PrepareStatement 使用(附各种场景 demo)

    PrepareStatement是JDBC提供的一种预编译的SQL语句,它可以提高数据库操作的效率和安全性。本资源主要涵盖了使用JDBC PrepareStatement进行MySQL数据库操作的各种场景,包括基本的查询、更新以及批量处理。 首先,...

    prepareStatement和Statement的区别

    prepareStatement和Statement是 Java 中两个常用的数据库操作接口,它们都可以用来执行 SQL 语句,但是它们之间有着明显的区别。 首先,从创建时的区别开始,Statement 需要通过 Connection 对象的 createStatement...

    JDBC从入门到放弃02-JDBC的Statement数据库增加和删除

    在Java编程领域,JDBC(Java Database Connectivity)是连接Java应用程序和各种数据库的重要桥梁。本教程将深入浅出地介绍如何使用JDBC的Statement接口来执行数据库的增加(INSERT)和删除(DELETE)操作,帮助初学...

    JDBC中Statement和Preparement的使用讲解

    JDBC 中 Statement 和 PrepareStatement 的使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本的 SQL 语句执行功能。PrepareStatement 是 Statement 的子接口,提供了预编译的功能,可以提高性能和安全...

    利用JDBC的PrepareStatement打印真实SQL的方法详解

    PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...

    java数据库连接PrepareStatement

    要创建一个 `PreparedStatement` 对象,首先需要通过 `Connection` 对象调用 `prepareStatement` 方法,并传入一个 SQL 语句字符串。例如: ```java // 假设 con 是已建立的 Connection 对象 String sql = "UPDATE ...

    statement和prepared区别

    PreparedStatement pstmt = con.prepareStatement("SELECT * FROM users WHERE age = ?"); pstmt.setInt(1, age); ResultSet rs = pstmt.executeQuery(); ``` 在这种情况下,即使我们多次执行该语句并更改`age`的值...

    jdbc知识带注释

    PreparedStatement pstmt = conn.prepareStatement("INSERT INTO mytable VALUES (?, ?)"); pstmt.setString(1, "value1"); pstmt.setInt(2, 10); pstmt.addBatch(); pstmt.setString(1, "value2"); pstmt....

    jdbc jdbc jdbc

    `Connection`对象提供了多种方法,如`createStatement()`、`prepareStatement()`和`CallableStatement`,用于创建执行SQL语句的对象。 3. **SQL语句(Statement)**:`Statement`对象用于执行SQL查询和命令。有三种...

    JDBC中的 DAO

    PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setInt(1, user.getId()); pstmt.setString(2, user.getUsername()); pstmt.executeUpdate(); } catch (SQLException e) { // 处理异常 } } ...

    JDBC入门中文文档

    - **PreparedStatement**:预编译的SQL语句,更安全高效,支持参数绑定,如`PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM table WHERE id=?");` - **CallableStatement**:用于调用存储过程,如...

    jdbc教程_jdbc教程

    PreparedStatement pstmt = conn.prepareStatement("INSERT INTO users(name, email) VALUES (?, ?)"); pstmt.setString(1, "John Doe"); pstmt.setString(2, "john@example.com"); pstmt.executeUpdate(); ...

    sqljdbc和测试jdbc连接类

    - 执行SQL:创建`Statement`或`PreparedStatement`对象来执行SQL查询,如`Statement stmt = conn.createStatement()`或`PreparedStatement pstmt = conn.prepareStatement(sql)`。 - 处理结果:执行SQL后,获取`...

    JDBC常考知识点,常用api

    - `prepareStatement(String sql)`:返回一个PreparedStatement对象,用于执行预编译的SQL语句,支持参数绑定,提高效率并减少SQL注入风险。 - `prepareCall(String sql)`:返回CallableStatement对象,用于调用...

    JDBCJDBC高级应用

    使用 `Connection.prepareStatement(String sql)` 创建预编译语句对象,然后使用 `setXXX()` 方法设置参数。 - 预编译语句特别适合于多次执行的SQL,因为它们只需要编译一次。 6. **存储过程的使用**: - 存储...

    java中PreparedStatement和Statement的区别

    perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)"); perstmt.setString(1,var1); perstmt.setString(2,var2); perstmt.setString(3,var3); perstmt.setString(4,var4)...

    详解Java的JDBC中Statement与PreparedStatement对象

    在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...

    jdbc线程池演示demo

    在Java数据库连接(JDBC)中,线程池是一种优化数据库操作的重要技术。线程池可以提高应用程序的性能,减少创建和销毁线程的开销,同时管理并发访问数据库的多个请求。本实例中,我们将重点讨论如何使用C3P0这个开源...

    sql和mysql jdbc包

    PreparedStatement pstmt = conn.prepareStatement(query); pstmt.setInt(1, 123); ResultSet rs = pstmt.executeQuery(); while (rs.next()) { int id = rs.getInt("id"); String name = rs.getString("name"); ...

Global site tag (gtag.js) - Google Analytics