大多数关系数据库通过四个步骤处理 JDBC/SQL 查询:
有人可以在以下代码中向我解释这些步骤
Statement st=con.createStatement();
ResultSet rset=st.executeQuerry("Select * from tab");
PrepareStatement stm=con.preparedStatement("select * from tab");
ResulSet rset=stm.executeQuerry();
这些与上述有什么不同?
【问题讨论】:
Prepared Statement 查询是在数据库上预编译的,并且访问计划将被重用于执行进一步的查询,这使它们能够比Statement 对象生成的普通查询更快地执行。
Prepared Statement 还允许您编写动态和参数查询。使用参数查询和PreparedStatement 可以防止多种形式的 SQL 注入,因为作为占位符的一部分传递的所有参数都将被 JDBC 驱动程序自动转义。
【讨论】:
在多次调用方面差异将是可见的,因为PreparedStatements以预编译格式存储,如果驱动程序支持预编译,则con.preparedStatement("select * from tab");会将语句发送到数据库进行预编译。你可以在这里看到区别:
http://docs.oracle.com/javase/7/docs/api/java/sql/Connection.html#createStatement()
http://docs.oracle.com/javase/7/docs/api/java/sql/Connection.html#prepareStatement(java.lang.String)
【讨论】:
PrepareStatement是预编译的,因此它会更快。当您在 select 语句中具有 where 条件时,就会出现显着差异,Statement sql 查询受 SQL 注入影响,而使用PrepareStatement 则不受 SQL 注入影响。
当您有 INSERT、UPDATE、DELETE 等 DML 语句时,同样适用。
【讨论】: