Statement
statement执行查询
创建Statement方式:
Connection.createStatement();
执行INSERT,UPDATE和DELETE:
Statement.executeUpdate(sql);
通常执行DDL
执行SELECT:
Statement.executeQuery(sql);
通常执行DML
PreparedStatement
开发中最常用的是PreparedStatement
Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。
Statement每执行一次都要传入SQL语句编译一次,效率较差。
PreparedStatement是接口,继承自Statement。
SQL语句提前编译,executeQuery和executeUpdate不需要传参。可以有一个或多个IN参数:
IN参数的值在SQL语句创建时未被指定,该语句为每个IN参数保留一个问号作为占位符,每个问号的值必须在语句执行之前,通过适当的setInt活setString方法提供。
SQL Injection
对JDBC,SQL注入攻击只对Statement有效,对PreparedStatement无效,因为PreparedStatement不允许在插入参数时改变SQL语句的逻辑结构
ResultSetMetaData
数据结果集的元数据,和查询出来的数据集相关,从结果集中获取
ResultSetMetaData resultSetMetaData = resultSet.getMetaData();
int columnCount = resultSetMetaData.getColumnCount();
String columnName = null;
for (int i = 1; i <= columnCount; i++) {
columnName = resultSetMetaData.getColumnName(i);
System.out.println("columnName = " + columnName);
}
可滚动结果集
常用的ResultSet,初始指针在第一行之前,只能使用next()方法将指针向后移动,不能反向。可滚动结果的意味着,指针可以在结果集中任意移动。
会发生大量的IO,性能差,所以不常用。
创建方法如下:
Statement stmt = conn.createStatement(type,concurrency);
PreparedStatement stmt = conn.prepareStatement(sql, type, concurrency)
type取值:
TYPE_FORWARD_ONLY:只能向前移动,默认参数
TYPE_SCROLL_INSENSITIVE:可滚动,不感知数据变化
TYPE_SCROLL_SENSITIVE:可滚动,感知数据变化
concurrency 取值:
CONCUR_READ_ONLY:只读
CONCUR_UPDATABLE:可更新
网友评论