Statement和PrepareStatement的区别详解

1.PreparedStatement继承自Statement，两者都是接口。
2.内部都要建立类似于Sockt连接，效率都不是特别高。

从资源利用和安全的角度区分两者的不同：

关于批处理时如何选择，以数据量大小位标准分三种情况：
1）量比较小，二者皆差别不大。
2）量比较多，在PreparedStatement预编译空间范围之内，选择PreparedStatement，因为其只预编译一次sql语句。
3）量特别大，使用Statement，因为PrepareStatement的预编译空间有限，当数据量特别大时，会发生异常。
特殊情况还有：执行不同的sql语句，批处理...等等 ，可以从消耗资源的角度再次分析。

批处理综合分析：
使用PreparedStatement代码演示：
在批处理过程中包含的sql语句的主干部分(sql语句)必须相同，改变的只是参数，因此编译一次sql语句即可，极大提高性能，但其主干必须相同则影响了灵活性。
 

1          public static void main(String[] args) {
 2         Connection conn = null;
 3         Statement stat = null;
 4         PreparedStatement ps = null;
 5         
 6         try {
 7             Class.forName("com.mysql.jdbc.Driver");
 8             conn = DriverManager.getConnection("jdbc:mysql:///mydb5","root","admin");
 9             //开始事务
10             conn.setAutoCommit(false);
11             String sql = "insert into tb_batch values (null,?)";
12             ps = conn.prepareStatement(sql);
13             for(int i=2000;i<3000;i++){
14                 ps.setString(1, "tong"+i);
15                 ps.addBatch();
16             }
17             ps.executeBatch();
18             //提交事务
19             conn.commit();
22         } catch (Exception e) {
23             e.printStackTrace();
24         }finally{
25             JDBCutils.closeResou(conn, ps, null);
26         }     
29     }
使用Statement代码演示：
可以包含结构不同的sql语句，灵活性得到提高，但没有预编译机制, 效率低下；并且你会发现发送的sql语句主干部分相同，只是参数不同， 但是主干部分每次都需要重复写入，极为麻烦。.

Connection conn = null;
 4         Statement stat = null;
 5         //注册驱动和连接数据库
 6         conn = JDBCutils.getConn();
 7         try {
 8             stat = conn.createStatement();
 9             stat.addBatch("drop database if exists mydb5");
10             stat.addBatch("create database mydb5");
13             stat.addBatch("insert into tb_batch values(null,'a')");
14             stat.addBatch("insert into tb_batch values(null,'bbb')");
15             stat.addBatch("insert into tb_batch values(null,'cccccc')");
16             stat.executeBatch();     
19         } catch (Exception e) {
20             e.printStackTrace();
21         }finally{
22             JDBCutils.closeResou(conn, stat, null);
23         }
24         

从数据库安全的角度：
PreparedStatement可防止SQL注入。SQL注入情况如下所示：

//输入要删除的账户：'abc' or 1=1
String username="'abc' or 1=1"
 
//等待用户输入的SQL语句
String sql=select * from user where username ='"+username+"';
可以发现输入密码时，已经属于非法输入
使用Statement 的话最后的sql语句则是如下所示：

select * from user where name = 'abc' or 1=1;
数据库容易被人恶意全部删除。
————————————————
版权声明：本文为CSDN博主「Zero-place」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/qq_41877184/article/details/93396940

最后

以上就是无心裙子为你收集整理的Statement和PrepareStatement的区别详解的全部内容，希望文章能够帮你解决Statement和PrepareStatement的区别详解所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。