YANG JIYI
0%

Statement和PrepareStatement的区别详解

Posted on In

联系:
1.PreparedStatement继承自Statement,两者都是接口。
2.内部都要建立类似于Sockt连接,效率都不是特别高。

从资源利用和安全的角度区分两者的不同:

关于批处理时如何选择,以数据量大小位标准分三种情况:
1)量比较小,二者皆差别不大。
2)量比较多,在PreparedStatement预编译空间范围之内,选择PreparedStatement,因为其只预编译一次sql语句。
3)量特别大,使用Statement,因为PrepareStatement的预编译空间有限,当数据量特别大时,会发生异常。
特殊情况还有:执行不同的sql语句,批处理…等等 ,可以从消耗资源的角度再次分析。

批处理综合分析:
使用PreparedStatement代码演示:
在批处理过程中包含的sql语句的主干部分(sql语句)必须相同,改变的只是参数,因此编译一次sql语句即可,极大提高性能,但其主干必须相同则影响了灵活性。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
public static void main(String[] args) {
 2         Connection conn = null;
 3         Statement stat = null;
 4         PreparedStatement ps = null;
 5         
 6         try {
 7             Class.forName("com.mysql.jdbc.Driver");
 8             conn = DriverManager.getConnection("jdbc:mysql:///mydb5","root","admin");
 9             //开始事务
10             conn.setAutoCommit(false);
11             String sql = "insert into tb_batch values (null,?)";
12             ps = conn.prepareStatement(sql);
13             for(int i=2000;i<3000;i++){
14                 ps.setString(1, "tong"+i);
15                 ps.addBatch();
16             }
17             ps.executeBatch();
18             //提交事务
19             conn.commit();
22         } catch (Exception e) {
23             e.printStackTrace();
24         }finally{
25             JDBCutils.closeResou(conn, ps, null);
26         }     
29     }

使用Statement代码演示:
可以包含结构不同的sql语句,灵活性得到提高,但没有预编译机制, 效率低下;并且你会发现发送的sql语句主干部分相同,只是参数不同, 但是主干部分每次都需要重复写入,极为麻烦。.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Connection conn = null;
 4         Statement stat = null;
 5         //注册驱动和连接数据库
 6         conn = JDBCutils.getConn();
 7         try {
 8             stat = conn.createStatement();
 9             stat.addBatch("drop database if exists mydb5");
10             stat.addBatch("create database mydb5");
13             stat.addBatch("insert into tb_batch values(null,'a')");
14             stat.addBatch("insert into tb_batch values(null,'bbb')");
15             stat.addBatch("insert into tb_batch values(null,'cccccc')");
16             stat.executeBatch();     
19         } catch (Exception e) {
20             e.printStackTrace();
21         }finally{
22             JDBCutils.closeResou(conn, stat, null);
23         }
24

从数据库安全的角度:
PreparedStatement可防止SQL注入。SQL注入情况如下所示:

1
2
3
4
5
//输入要删除的账户:'abc' or 1=1
String username="'abc' or 1=1"
 
//等待用户输入的SQL语句
String sql=select * from user where username ='"+username+"';

可以发现输入密码时,已经属于非法输入
使用Statement 的话最后的sql语句则是如下所示:

1
select * from user where name = 'abc' or 1=1;

数据库容易被人恶意全部删除。