参考:https://www.cnblogs.com/weiyi1314/p/6638483.html
一、技术原理
PreparedStatement接口继承Statement,并有两方面不同:
一是PreparedStatement对象已预编译过,其执行速度要快于Statement对象。需要多次执行的SQL语句应创建为PreparedStatement对象以提高效率;
二是SQL语句在创建时可使用IN参数及其配套的setXXX方法设置SQL语句中的参数,Statement的三种执行方法execute/executeQuery/executeUpdate不再需要执行参数。
二、PreparedStatement的优点
1.增强代码的可读性和可维护性
Statement设置的SQL语句
stmt.executeUpdate("insert into tb_name(col1,col2,col2,col4) values('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");
PreparedStatement设置的SQL语句
perstmt=con.prepareStatement("insertintotb_name(col1,col2,col2,col4)values(?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate();
2.提高运行性能
数据库编译器在执行PreparedStatement代码后,将会缓存该语句。下次调用相同的预编译语句不再进行编译,直接将参数传入编译过的语句执行代码中。
而Statement语句仅仅是因为传入参数不同,数据库编译器必须重新编译,如下述两条语句:
insert into tb_name(col1,col2) values('11','22');
insert into tb_name(col1,col2) values('11','23');
3.提高数据库安全性
恶意SQL语句:
如下语句
String sql="select * from tb_name where name = '" + varname + "'and passwd='" + varpasswd + "'";
如果将varpassword值设为['or'1'='1],SQL语句变为
select * from tb_name = '随意' and passwd='' or '1'='1';
因为‘1=1‘一直成立,该条语句将被执行,数据库受到SQL注入攻击。
而使用预编译语句时,你传入的内容就不会和原语句发生任何匹配关系。只要使用PreparedStatement,就不用对传入数据进行任何过滤,也免于SQL注入的威胁。
欲穷千里目,更上一层楼
