JavaWeb学习(七): Statement 与 PreparedStatement 的区别 :
时间:2020-03-16
本文章向大家介绍JavaWeb学习(七): Statement 与 PreparedStatement 的区别 :,主要包括JavaWeb学习(七): Statement 与 PreparedStatement 的区别 :使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值,需要的朋友可以参考一下。
前言:
两者由哪个类产生?
Connection 产生 Statement 对象 : createStatement()
Connection 产生 PreparedStatement 对象 : prepareStatement()
Connection 产生 CallableStatement 对象 : prepareCall()两者之间的关系:
public interface PreparedStatement extends Statement
由此可知: PreparedStatement 是Statement 的一个子接口
所以 : Statement有的东西PreparedStatement 也有,甚至子类还比父类多很多东西 两者是通过怎么的方式操作数据库的?
Statement :
增删改 :executeUpdate()
查询 : executeQuery() --- 返回的是一个结果集(ResultSet)PreparedStatement:
增删改 : executeUpdate()
查询 : executeQuery() --- 返回的是一个结果集(ResultSet)
赋值操作:setXxx(); --- 相对于 Statement 强大的地方两者在使用时的区别(具体看代码,更好理解):
Statement:
1、SQL 语句
2、executeUpdate(sql)PareparedStatement:
sql(可以存在占位符?)
在创建PreparedStatement 对象时,将sql预编译 prepareStatement(sql);
setXxx()替换占位符 (两个参数: 位置,值)
executeUpdate(); -- 由于已经预编译过,所以不用再进行重复编译PareparedStatement 的优势:
1、编码更加简便(直接用 ?代替,避免了字符串的拼接)
2、提高性能(预编译,避免了重复编译,提高了性能)
3、安全(可以有效防止 sql 注入)
sql注入: 将用户输入的内容 和开发人员的SQL语句混为一体
stmt : 存在被注入的风险
(例如输入 用户名:任意值 ' or 1 = 1 --
密码:任意值
)
分析:
select count(*) from login where uname='任意值' or 1=1 --' and upwd = '任意值’;
(SQL语句中 -- 起注释的作用)
select count(*) from login where uname='任意值' or 1=1;
select count(*) from login;
pstmt : 有效防止 sql 注入(推荐使用)
select count(*) from login where uname=? and upwd = ?;
(没有符号跟 ?配对)代码进行区别:
Statement:
package controlSql;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
public class SqlQuery {
private static final String URL = "jdbc:mysql://localhost:3306/sqltest";
private static final String User = "root";
private static final String Pwd = "root";
// 查询操作
public static void query() {
Connection connection = null;
Statement stamt = null;
ResultSet rs = null;
try {
Class.forName("com.mysql.jdbc.Driver");
connection = DriverManager.getConnection(URL, User, Pwd);
stamt = connection.createStatement();
String sql = "select sno,sname from s";
// 查询操作 : 返回结果集
rs = stamt.executeQuery(sql);
// 指针不为空一直向下走(也可以向上走 -- rs.previous())
while (rs.next()) {
// 通过 getXxx 方法获得 数据库中每个字段的信息
String sno = rs.getString("sno");
String sname = rs.getString("sname");
System.out.println(sno + "--" + sname);
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} catch (Exception e) {
e.printStackTrace();
} finally {
try {
// 用完后记得关闭,最后开的先关闭,最先开的最后关闭
rs.close();
stamt.close();
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
// 更新操作
public static void update() {
Connection connection = null;
Statement stamt = null;
ResultSet rs = null;
try {
Class.forName("com.mysql.jdbc.Driver");
connection = DriverManager.getConnection(URL, User, Pwd);
stamt = connection.createStatement();
// 括号里面的字段值需要用 单引号 '',较为复杂时要用到字符串的拼接
String sql = "insert into s values ('1006','sd','13')";
int cnt = stamt.executeUpdate(sql);
if(cnt > 0) System.out.print("操作成功!");
else System.out.print("操作失败!");
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} catch (Exception e) {
e.printStackTrace();
} finally {
try {
// 用完后记得关闭,最后开的先关闭,最先开的最后关闭
stamt.close();
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
public static void main(String[] args) {
update();
// query();
}
}
PreparedStatement:
package controlSql;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class PreparedStatementExample {
private static final String URL = "jdbc:mysql://localhost:3306/sqltest";
private static final String User = "root";
private static final String Pwd = "root";
public static void query() {
Connection connection = null;
PreparedStatement stamt = null;
ResultSet rs = null;
try {
Class.forName("com.mysql.jdbc.Driver");
connection = DriverManager.getConnection(URL, User, Pwd);
// 查询操作(实现模糊查询)
String sql = "select * from s where sname like ? ";
stamt = connection.prepareStatement(sql);
stamt.setString(1, "%s%");
rs = stamt.executeQuery();
while (rs.next()) {
// 通过 getXxx 方法获得 数据库中每个字段的信息
String sno = rs.getString("sno");
String sname = rs.getString("sname");
System.out.println(sno + "--" + sname);
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} catch (Exception e) {
e.printStackTrace();
} finally {
try {
// 用完后记得关闭,最后开的先关闭,最先开的最后关闭
rs.close();
stamt.close();
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
public static void update() {
Connection connection = null;
PreparedStatement stamt = null;
try {
Class.forName("com.mysql.jdbc.Driver");
connection = DriverManager.getConnection(URL, User, Pwd);
// 插入操作
String sql = "insert into s values (?,?,?)";
// 预编译
stamt = connection.prepareStatement(sql);
// 按照位置进行插入
stamt.setString(1, "1005");
stamt.setString(2, "wu");
stamt.setString(3, "23");
int cnt = stamt.executeUpdate();
if(cnt > 0) System.out.print("操作成功!");
else System.out.print("操作失败!");
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} catch (Exception e) {
e.printStackTrace();
} finally {
try {
// 用完后记得关闭,最后开的先关闭,最先开的最后关闭
stamt.close();
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
public static void main(String[] args) {
// query();
update();
}
}
原文地址:https://www.cnblogs.com/prjruckyone/p/12503410.html
- 01 整合IDEA+Maven+SSM框架的高并发的商品秒杀项目之业务分析与DAO层
- JSP第六篇【自定义标签之传统标签】
- 过滤器监听器面试题都在这里
- 02 整合IDEA+Maven+SSM框架的高并发的商品秒杀项目之Service层
- JSP第五篇【JSTL的介绍、core标签库、fn方法库、fmt标签库】
- java中的序列化 (r4笔记第64天)
- JSP第四篇【EL表达式介绍、获取各类数据、11个内置对象、执行运算、回显数据、自定义函数、fn方法库】
- 03 整合IDEA+Maven+SSM框架的高并发的商品秒杀项目之web层
- JSP第三篇【JavaBean的介绍、JSP的行为--JavaBean】
- Java基础-06.总结二维数组,面向对象
- 04 整合IDEA+Maven+SSM框架的高并发的商品秒杀项目之高并发优化
- 过滤器第一篇【介绍、入门、简单应用】
- 通过pl/sql来格式化sql(r4笔记第63天)
- 程序员如何写出杀手级的简历
- java教程
- Java快速入门
- Java 开发环境配置
- Java基本语法
- Java 对象和类
- Java 基本数据类型
- Java 变量类型
- Java 修饰符
- Java 运算符
- Java 循环结构
- Java 分支结构
- Java Number类
- Java Character类
- Java String类
- Java StringBuffer和StringBuilder类
- Java 数组
- Java 日期时间
- Java 正则表达式
- Java 方法
- Java 流(Stream)、文件(File)和IO
- Java 异常处理
- Java 继承
- Java 重写(Override)与重载(Overload)
- Java 多态
- Java 抽象类
- Java 封装
- Java 接口
- Java 包(package)
- Java 数据结构
- Java 集合框架
- Java 泛型
- Java 序列化
- Java 网络编程
- Java 发送邮件
- Java 多线程编程
- Java Applet基础
- Java 文档注释
- CS学习笔记 | 14、powerup提权的方法
- VBA解压缩ZIP文件05——Huffman树
- JavaScript|jQuery基础语法
- VBA解压缩ZIP文件03——解压准备工作
- VBA解压缩ZIP文件04——解析ZIP文件结构
- 开发|Springboot简单实现文件上传
- VBA解压缩ZIP文件01——实现的功能
- MyVBA加载宏——添加自定义菜单03——功能分析
- MyVBA加载宏——添加自定义菜单02——给按钮添加单击事件
- 科研猫小课堂:敲黑板!竞争风险模型应该如何分析?
- 常用功能加载宏——快速定位合并单元格
- 常用功能加载宏——调用微信截图
- 常用功能加载宏——一维表转二维表
- OpenCV与图像处理(八)
- 类模块