Statement、PreparedStatement和CallableStatement有什么区别? |
您所在的位置:网站首页 › statement和prepared statement的区别 › Statement、PreparedStatement和CallableStatement有什么区别? |
1. 区别:
Statement: 用于执行不带参数的简单SQL语句,返回生成结果的对象,每次执行SQL语句时,数据库都要编译该语句。 PreparedStatement: 表示预编译的SQL语句的对象,用于执行带参数的预编译SQL语句。 CallableStatement: 提供了用来调用数据库中存储过程的接口,如果有输出参数要注册,说明是输出参数。 2. PreparedStatement优点: 效率更高:使用PreparedStatement对象执行SQL语句时,命令会被数据库进行编译和解析,并放到命令缓冲区;代码可读性和可维护性更好: 使用Statement: Statement stmt = conn.getStatement(); stmt.executeUpdate("insert into tabel_name(col1,col2) values('" + var1 + "','" + var2 + "')");使用PreparedStatement: PreparedStatement prestmt = conn.preparedStatement("insert into tabel_name(col1,col2) values(?,?)"); 安全性更好: 使用PreparedStatement能预防SQL注入(即通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器,达到执行恶意SQL命令的目的)攻击,注入只对SQL语句的编译过程有破坏作用,而执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析。 |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |