资料库操作为什么选PreparedStatement而不是Statement？

一、提高代码可读性，和可维护性

为什么？直接上代码

statement.executeQuery("select id,name,age,sex from user where id>"+"id"+and name like %"+subname+"%and sex="+sex+");

上面是使用statement对象的代码

pstatement=connection.preparedStatement("select id,name,sex from user where id>?and name like ? and sex=?"); pstatement.setString(1,id); pstatement.setString(2,name); pstatement.setString(3,sex); pstatement.executeQuery();

上面是使用PreparedStatementd对象的代码

虽然使用PreparedStatementd对象的代码多了几行，但是显得更为简洁。调理更为清晰，便于修改。

二、有助于提高性能

PreparedStatementd对象在创建时就指定了动态的SQL，因此这些SQL被编译之后缓存起来了。等下一次再执行相同的预编译语言时，就无需再对其进行编译，只要将参数传入就可以执行。动态SQL使用了「？」作为占位符，因此预编译语句的匹配率要比Statement对象使用的SQL语句大得多。

三、提高复用性

因为可以在占位符处，每次通过传入不同的参数对一个PreparedStatementd对象进行调用。

如果是使用statement对象，那么每次要执行不同条件的SQL语句时，需要重新创建statement对象。

四、提高安全性

如果使用Statement对象，就很容易收到SQL注入攻击。

如

String name="刘耀"; String sql="select * from user where name="+name+""; statement.executeQuery(sql);

假设我将

String name=";drop table user;";

那么实际上

执行的sql语句成了：select * from user where name=;dorp table user;

资料库中user表就会被删除。但是使用PreparedStatement对象就不会有这样的危险。

资料库操作为什么选PreparedStatement而不是Statement？

热门新闻

周热门

资料库操作为什么选PreparedStatement而不是Statement？

如何系统学习hadoop等大数据行业知识？

如何看待蚂蚁金服OceanBase拿下世界第一，性能超老牌资料库Oracle 100％?

mysql 导入 很大的 CSV ?

前端Flutter+Dart，后端Golang，资料库Mysql的技术栈是否会成为未来开发的标配？

mysql百万级表在不停机的情况下增加一个栏位要怎么处理的？

大数据用什么资料库?

怎么实现一个简单的资料库系统？

web安全需不需要学习sql资料库？

关于android跟资料库的一些问题和我的理解?

sql资料库中什么情况该加索引index？

在oracle中，select * from dual where =为什么返回的是空？

学习SQL怎么开头？

软体工程的学生，资料库应该学哪种?MySQL，Oracle，还是SqlServer？

条件：mysql中多个表的栏位完全相同 需求：在增/删/改栏位时，同时修改这多个表？请问相关工具和办法

sql如何获取 使用distinct后的record所对应的原表id？

热门新闻

周热门

mysql 导入很大的 CSV ?

条件：mysql中多个表的栏位完全相同需求：在增/删/改栏位时，同时修改这多个表？请问相关工具和办法

sql如何获取使用distinct后的record所对应的原表id？