Statement和PreparedStatement的区别

com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException的异常

这个问题我以前也碰到过，今天在论坛看到一位提出来了，我就打算一篇博文来和大家分享一下。

首先，在我们用JDBC来操作数据库的时候，创建SQL语句通常有两种方式：Statement和PreparedStatement

讲到这个，不得不分析一下这两者之间的区别，因为面试的时候很多面试官在数据库方面的问题都会问的。

第一点：代码的可读性和可维护性

给大家举例应该就能明白了：

statement:

stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");

preparedStatement:

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");perstmt.setString(1,var1);perstmt.setString(2,var2);perstmt.setString(3,var3);perstmt.setString(4,var4);perstmt.executeUpdate();

虽然preparedStatement的方式比statement的方式多了一些代码，但是充分体现了可读性和可维护性

第二点：高性能

PrepareStatement会利用数据库的SQL共享来匹配sql语句，这样使得性能大大的提升。

第三点：安全性

这里涉及到的就是恶意的sql注入，最有代表的就是or 1=1。

Statement显然不能防住这种情况的发生，但是PrepareStatement使用存储过程来执行所有的查询操作，并且传递给PreparedStatement对象的参数可以被强制进行类型转换，使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException的异常

关于com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException的异常
首先我们检查一下sql语句是否正确

然后我们回到前面讲两者之间的区别，其实还有一点，很多朋友都没有注意看，不过您看看帮助文档就知道了。

那就是预编译操作的时候，方法中是不需要传入sql语句的参数了。

希望大家多多指点~