預編譯Statement優點
- 執行效率高
由於預編譯語句使用占位符 ”?”,在執行SQL之前語句會被先發送到Oracle服務器進行語法檢查和編譯等工作,並將SQL語句加入到Oracle的語句緩沖池里,隨后再對SQL語句中的占位符”?”設置定值。
那么也就說如果你要執行1000行插入的時候第一次先SQL語句發送給Oracle服務器處理,接着以后只傳遞值給占位符就可以了。
因此它不需每次傳遞大量的SQL語句也無需對每條SQL語句做語法檢查和編譯所以比較高效。 - 安全,可防止SQL注入攻擊
//用戶登錄的時候,假設有下面的語句
select * from student where username='' and password=''
//寫為字符串為
String sql = "select * from student where username='"+username+"' and password='+password+"'"
//用戶如果輸入' or 1=1 --
//對應的SQL語句
select * from student where username='' or 1 =1 -- and password=''
//上面這句SQL等同於下面
select * from student
- Statement執行過長語句,拼接字符串很繁瑣,容易出錯
使用
1.創建預編譯語句對象
通過Connection對象來穿件一個預編譯語句的對象
PrepareStatement ps = conn.prepareStatement("select * from student where num = ? and name = ?")
2.設置占位符的內容
占位符的索引從1開始,使用setXxx方法,數據要跟列的數據對應
Void setXxx((int parameterIndex, Xxx value); Xxx表示相應的數據類型。
設置點位符位置的值,第一個參數是 1,第二個參數是 2,…..
ps.setInt(1,12);
ps.setString(2,"張三");
3.執行
- `boolean execute()`
在此 PreparedStatement 對象中執行 SQL 語句,該語句可以是任何種類的 SQL 語句。
- `ResultSet executeQuery()`
在此 PreparedStatement 對象中執行 SQL 查詢,並返回該查詢生成的 ResultSet 對象。
- `int executeUpdate()`
在此 `PreparedStatement` 對象中執行 SQL 語句,該語句必須是一個 SQL 數據操作語言(Data Manipulation Language,DML)語句
比如 `INSERT`、`UPDATE` 或 `DELETE` 語句;
或者是無返回內容的 SQL 語句,比如 `DDL` 語句。
返回一個已修改數據庫中的數據數目數
```
ps.executeQuery();
```
Statement與PrepareStatement比較
| Statement | PreparedStatement | |
| 創建語句對象的方法 | Connection.createStatement( ) | Connection.preparedStatement( sql ) |
| 查詢 | executeQuery( sql ) 要提供SQL語句 | executeQuery( ) 不提供提供SQL語句,但隨后要設置占位符的值 |
| 插入、更新、刪除 | executeUpdate( sql ) 要提供SQL語句 | executeUpdate( ) 不提供提供SQL語句 |
| 執行語句 | execute() | execute() |