我们为什么在程序中要使用PreparedStatement而不是Statement?有以下几个原因。
1,从程序本身的角度来看,PreparedStatement更具效率。
我们通过connection.preparedStatement(sql)方法来获得PreparedStatment对象,然后通过preStatement.setXXX来设置查询参数。
如果我有2个查询,SQL语句都一样,但是参数不同,使用PreparedStatment的话只需setXXX不同的参数、再次查询即可,而如果使用Statement的话,
需要重新创建Statement对象,connection.createStatement(sql)
2,从数据库层面来讲,PreparedStatment更具效率。
在使用PreparedStatement时,数据库系统会对sql语句进行预编译处理(前提是JDBC驱动支持),具体包括SQL语句的分析,编译,优化等过程,预编译后会缓存起来,执行计划同样也会缓存起来,编译的sql查询语句能在将来的查询中重用(同样的查询,哪怕参数值不同)。
需要注意的是,使用PreparedStatement时,SQL不要用String追加参数值,而应该使用preStatement.setXXX来设置查询参数。
3,PreparedStatment可以防止SQL注入。
如:
String sql = "SELECT * FROM user WHERE name = '" + userName + "' and password = '"+ passWord +"';"
恶意输入参数值:userName = "1' OR '1'='1"; passWord = "1' OR '1'='1";
最终sql会变成:
String sql = "SELECT * FROM user WHERE name = '1' OR '1'='1' and password = '1' OR '1'='1';"
这条语句相当于select * from user。
如果用户再加上drop table user,后果将不堪设想。
所以使用PreparedStatement能避免此种情况,因为数据库系统不会将参数的内容视为SQL指令的一部分来处理,只有在数据库完成SQL指令的编译后,才套用参数运行。因此就算参数中含有破坏性的指令,也不会被数据库所运行。
网友评论