PreparedStatement的解释:
PreparedStatement是java.sql包下的一个接口,用来执行sql语句查询,通过调用conn.prepareStatement(sql)方法可以获得PreparedStatement对象。
从上图可知PreparedStatement继承于Statement,但PreparedStatement与Statement有很大不同。
知识点来源:https://blog.csdn.net/baichoufei90/article/details/83539484
PreparedStatement与Statement的不同:
| PreparedStatement | Statement | |
|---|---|---|
| 可读性 | 高,可单独设置每一个变量 | 差,需要拼接字符串 |
| 预编译 | 可配置开启预编译 | 普通sql无预编译 |
| 安全性 | 强,sql提前预编译,传入的参数中的字符串,如果有特殊的字符串会被转义 | 差,可能被sql注入到拼接字段 |
PreparedStatement的优势:
1、可以书写动态参数化的查询;比如where userName=?。
2、 PreparedStatement比Statement效率更高,更快。
释:PreparedStatement拥有更佳的性能优势,数据库系统会对sql语句进行预编译处理,预处理语句将被预先编译好,这样预编译的sql语句 能在将来的查询中重用。也就是数据库对SQL语句的分析、编译、优化已经在第一次查询前完成,之后查询不再重复,所以 PreparedStatement比Statement更快。
为了获得性能上的优势,在sql查询语句时应该使用参数化sql查询而不是字符串追加的方式。即应该使用"where userName=?“而不是"where userName=”+userName。
3、防止SQL注入式攻击
在使用参数化查询时,数据库系统不会将参数的内容视为SQL指令进行处理,而是在数据库完成SQL指令的编译后,才会套用参数运行。因此,如果参数中 含有破坏性的指令,也不会被数据库所运行。
PreparedStatement的局限:
为了防止SQL注入攻击,PreparedStatement不允许一个占位符(?)有多个值,所以无法执行有IN子句的查询。
例: