【Java学习之旅】——PrepareStatement和Statement区别以及实现批量删除
来源:互联网 发布:影响黄金价格的数据 编辑:程序博客网 时间:2024/06/03 23:41
【前言】
小编在敲drp项目的时候,偶遇了prepareStatement和Statement这两对象,看着就觉得这两个对象关系匪浅,的确prepareStatement继承了Statement,所以prepareStatement在Statement的基础肯定扩展了她的方法,而且很具有优势,下面小编就简单的讲讲我对这两个对象的看法:
【内容】
1. prepareStatement和Statement的区别:
安全性
效率
开销
可读性
维护性
prepareStatement
高
高,预编译
大
好
容易
Statement
容易发生sql注入
低,每一次编译
小
差
不容易
2.prepareStatement和Statement的基本语法:
//Statement的语法String updateString = "UPDATE User SET SALES = 75 " + "WHERE User_Name LIKE ′cyl′";stmt.executeUpdate(updateString);//prepareStatement的语法PreparedStatement updateUser = con.prepareStatement("UPDATE User SET SALES = ? WHERE User_Name LIKE ? ");updateUser.setInt(1, 75);updateUser .setString(2, "Colombian");updateUser .executeUpdate();
3.prepareStatement和Statement的使用情况
@一般情况参数固定,需要多次执行删除或者查询语句的时候,使用prepareStatement会比Statement好很多
prepareStatement:
/** * 删除单个用户 * @param userId */ public void delUser(String userId){ String sqldelString="delete from t_user where user_id=?"; Connection connection=null; PreparedStatement psmt=null; try { connection=DbUtil.getConnection(); psmt=connection.prepareStatement(sqldelString); psmt.setString(1, userId); //设置参数 psmt.executeUpdate();} catch (Exception e) {e.printStackTrace();}finally{DbUtil.close(psmt);DbUtil.close(connection);} }
Statement:
/** * 删除单个用户 * @param userId */ public void delUser(String userId){ String sqldelString="delete from t_user where user_id"+userId; //直接将参数放入sql语句中 Connection connection=null; java.sql.Statement stmt=null; try { connection=DbUtil.getConnection(); stmt=connection.createStatement(); stmt.executeUpdate(sqldelString);} catch (Exception e) {e.printStackTrace();}finally{DbUtil.close(stmt);DbUtil.close(connection);} }
单从代码量来看,Statement的确比prepareStatement的少两行,因为有sql参数的设置。但是从可读性和维护性上,prepareStatement的sql的语句类型一旦确定,就不需要过多的修改,参数与sql语句分离,提高维护性。从安全性的角度来说,如果用Statement进行select查询很容易会产生sql注入,把["or '1'='1"]数据传进来,所有的未或注册的用户可以随意访问,很容易泄露。
所以得出的结论是在一般情况下,我们都尽量使用prepareStatement而不是Statement。
-----------------------------------------------------------------------------
@特殊情况在参数的个数不确定的情况下,使用PrepareStatement和Statement没有什么区别。因为执行的sql语句都会被重新的编译,使用stringbuilder也可以防止sql注入,代码如下:
PrepareStatement:
/** * 批量删除 * 采用提交一次完成删除 * 采用preparedstatement占位符的方式 * delete from t_user where user_id in(?,?,?); * @param userIds */ public void delUser(String[] userIds) { StringBuilder sBuilder=new StringBuilder(); for (int i = 0; i < userIds.length; i++) { //使用stringbuilder加载占位符。 sBuilder.append("?"); if (i<(userIds.length-1)) {sBuilder.append(",");}} String sqlString="delete from t_user where user_id in ("+sBuilder.toString()+")"; System.out.println(sqlString); Connection connection=null; PreparedStatement stmt=null; try { connection=DbUtil.getConnection(); stmt=connection.prepareStatement(sqlString); //射进来的参数-stringbuilerfor (int i = 0; i < userIds.length; i++) { stmt.setString(i+1, userIds[i]);}stmt.executeUpdate();} catch (Exception e) {e.printStackTrace();}finally{DbUtil.close(stmt);DbUtil.close(connection);}}Statement:
//{{ void delUser(String[] userIds)+常银玲 /** * 批量删除 * 采用提交一次完成删除——事务-cyl * 采用statement拼串方式 * delete from t_user where user_id in(); * @param userIds */ public void delUser(String[] userIds) { StringBuilder sBuilder=new StringBuilder(); for (int i = 0; i < userIds.length; i++) { //使用stringbuilder加载参数 sBuilder.append("'") .append(userIds[i]) .append("'") .append(",");} String sqlString="delete from t_user where user_id in ("+sBuilder.substring(0,sBuilder.length()-1)+")"; System.out.println(sqlString); Connection connection=null; java.sql.Statement stmt=null; // ResultSet rSet=null; try { connection=DbUtil.getConnection();stmt=connection.createStatement();stmt.executeUpdate(sqlString);} catch (Exception e) {e.printStackTrace();}finally{//DbUtil.close(rSet);DbUtil.close(stmt);DbUtil.close(connection);}} //}}
【总结】
其实使用prepareStatement已经成为我们的首选,必定它有着比Statement更多的优势,而且prepareStatement更加体现我们面向对象的一种思想,将sql语句与参数分离,参数的类型已经参数值不会对既定的sql语句产生很大的影响,而且最重要的就它可以进行预编译,对我们程序的性能会有很大的改善,而且可以防止sql注入,提高我们程序的安全性。希望这篇博文让你对prepareStatement有了一些了解,如果有什么偏差,希望可以在谅解的同时提出您的想法!
0 0
- 【Java学习之旅】——PrepareStatement和Statement区别以及实现批量删除
- 【Java学习笔记】——Statement & PrepareStatement
- 【Java学习笔记】——Statement & PrepareStatement
- prepareStatement和Statement区别
- prepareStatement和Statement区别
- prepareStatement和Statement区别
- prepareStatement和Statement的区别
- Java基础——Statement与PrepareStatement
- Java基础——Statement与PrepareStatement
- Java Statement 和 PrepareStatement 使用方法
- Statement和PrepareStatement有什么区别?
- JDBC中prepareStatement 和Statement 的区别
- prepareStatement的Statement区别
- statement 与preparestatement 区别
- statement 与preparestatement 区别
- statement 与preparestatement 区别
- PrepareStatement和Statement
- JDBC PrepareStatement 和 Statement
- 第 3 章 MySQL管理工具的使用
- 移动端实时监控文本框的字数
- qt 之解析XML元素(QXmlStreamReader)
- 错误Name node is in safe mode的解决方法
- Haar、pico、npd、dlib等多种人脸检测特征及算法结果比较
- 【Java学习之旅】——PrepareStatement和Statement区别以及实现批量删除
- 初识Servlets
- python2, 3 中zip list 函数
- mybatis的详解
- 内存区域分配(五个段)
- Hadoop+OpenCV的集群化图像处理开发环境建设与测试研究
- 巨磁阻效应分析与应用
- Meta标签中的apple-mobile-web-app-capable属性及含义
- idea修改tomcat启动的初始页面