1. java PreparedStatement與Statement區別
1、 PreparedStatement介面繼承Statement, PreparedStatement 實例包含已編譯的 sql 語句,所以其執行速度要快於 Statement 對象。2、作為 Statement 的子類,PreparedStatement 繼承了 Statement 的所有功能。三種方法
execute、 executeQuery 和 executeUpdate 已被更改以使之不再需要參數
3、在JDBC應用中,如果你已經是稍有水平開發者,你就應該始終以PreparedStatement代替
Statement.也就是說,在任何時候都不要使用Statement.
基於以下的原因:
一.代碼的可讀性和可維護性.
雖然用PreparedStatement來代替Statement會使代碼多出幾行,但這樣的代碼無論從可讀性還是可維護性上來說.都比直接用Statement的代碼高很多檔次:
stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");//stmt是Statement對象實例
perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate(); //prestmt是 PreparedStatement 對象實例
不用我多說,對於第一種方法.別說其他人去讀你的代碼,就是你自己過一段時間再去讀,都會覺得傷心.
二.PreparedStatement盡最大可能提高性能.
語句在被DB的編譯器編譯後的執行代碼被緩存下來,那麼下次調用時只要是相同的預編譯語句就不需要編譯,只要將參數直接傳入編譯過的語句執行代碼中(相當於一個涵數)就會得到執行.這並不是說只有一個Connection中多次執行的預編譯語句被緩存,而是對於整個DB中,只要預編譯的語句語法和緩存中匹配.那麼在任何時候就可以不需要再次編譯而可以直接執行.而statement的語句中,即使是相同一操作,而由於每次操作的數據不同所以使整個語句相匹配的機會極小,幾乎不太可能匹配.比如:
insert into tb_name (col1,col2) values ('11','22');
insert into tb_name (col1,col2) values ('11','23');
即使是相同操作但因為數據內容不一樣,所以整個個語句本身不能匹配,沒有緩存語句的意義.事實是沒有資料庫會對普通語句編譯後的執行代碼緩存.
當然並不是所以預編譯語句都一定會被緩存,資料庫本身會用一種策略,比如使用頻度等因素來決定什麼時候不再緩存已有的預編譯結果.以保存有更多的空間存儲新的預編譯語句.
三.最重要的一點是極大地提高了安全性.
即使到目前為止,仍有一些人連基本的惡義SQL語法都不知道.
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我們把[' or '1' = '1]作為varpasswd傳入進來.用戶名隨意,看看會成為什麼?
select * from tb_name = '隨意' and passwd = '' or '1' = '1';
因為'1'='1'肯定成立,所以可以任何通過驗證.更有甚者:
把[';drop table tb_name;]作為varpasswd傳入進來,則:
select * from tb_name = '隨意' and passwd = '';drop table tb_name;有些資料庫是不會讓你成功的,但也有很多資料庫就可以使這些語句得到執行.
而如果你使用預編譯語句.你傳入的任何內容就不會和原來的語句發生任何匹配的關系.只要全使用預編譯語句,你就用不著對傳入的數據做任何過慮.而如果使用普通的statement,有可能要對drop,;等做費盡心機的判斷和過慮.
2. java statement到底是怎樣執行查詢的
java statement在查詢的時候 ,就是用連接對象調用方法execute...執行sql語句,而sql語句就是查詢數據最核心最關鍵的一段代碼, 建議樓主先看看Statement語句, 然後再去看看PrepareStatement語句,後者相比於前者,有四個優點,分別是:
1, 可讀性好----寫的sql看起來簡單明了, 易於讀取和維護
2. 維護性好 ---前面這兩個點是很只觀的一個感受, 比如你自己分別用這兩種語句,去寫一條更新資料庫的sql, 這個時候你一眼就能感受到PrepareStatement的可讀性與維護性
3. 性能更好---由於PrepareStatement裡面有一個類似緩沖區的設計, 就是會把相同的sql語句存放在裡面, 當以後再遇到同樣的sql語句, 它在內部就省去了很多對sql語句進行語法等判斷的過程, 所以性能上優於Statement
4. 安全性好,可以防止一般的sql注入攻擊, 有這個有點主要是由於前者的sql語句在拼接的過程中 很可能會出現歧義 具體的樓主可以在網上搜一下sql注入式攻擊的情況.
說了這么多 不知道樓主是否能看懂, 如果有問題 隨時可以交流
3. statement在java的哪個類中
java.sql下,不需要jar。
輸入Statement後,使用滑鼠移動到其上import package,或者ctrl+shift+m單個引入,或者ctrl+shift+o引入所有未導入的包。再觀察其所在包。
4. 在java中Statement 對象如何創建和使用
首先要導入java.sql.*這個包
然後載入驅動,
創建鏈接,
得到Connection介面的實現對象,比如對象名叫conn。
然後再用conn對象去創建Statement的實例,方法是:
Statement
stmt=
conn.createStatement(SQL語句字元串);
以上就是創建Statement的具體方法~
5. statement是java的介面還是類呢
jdbc規范。java只是提供了一套介面,具體的實現類由資料庫廠商提供。想要連接資料庫,就要有資料庫連接的jar包,這個包就有實現了這個介面的具體實現類。
還有hibernate實現的jpa,也是這個原理。
6. statement在Java表示什麼
statement是Java語句, Java語句表示某種操作, 但是沒有返回值。 例如 a = 5, if語句, break語句。
7. Java中的Statement類是干什麼用的
簡單介紹如下:
Statement 是 Java 執行資料庫操作的一個重要方法,用於在已經建立資料庫連接的基礎上,向資料庫發送要執行的SQL語句。Statement對象,用於執行不帶參數的簡單SQL語句。
與此差不多的還有PreparedStatement,PreparedStatement 繼承了Statement,一般如果已經是稍有水平開發者,應該以PreparedStatement代替Statement。
8. Java中PreparedStatement和Statement有什麼區別 在安全性上
PreparedStatement 可以自己set 值進去 , 而 Statement 只是簡單的拼 SQL。所以PreparedStatement相對要安全得多。
like :table Test 裡面有兩個值 name,age
PreparedStatement p=null;
String sql2 =
"delete from test where age < :x ";
pst2 = conn.prepareStatement(sql2);
pst2.setInt(1, 10); // 這里的10 為之前 :x 處應該傳進去的值
而如果是用 Statement
like:
Statement s = conn.createStatement();
String sql = "delete from test where age < " + x; // x=10
s.execute(sql);
想想 這里 要是傳進來的x 是 10 and name='xx' 呢?
sql = "delete from test where age < 10 and name='xx' "
是不是 Statement 也照樣執行了 所以這樣很不安全 因為別人可以隨意傳數值,和參數。
要是 jion 別的table? 天 你什麼信息都可能被拿走
而如果是PreparedStatement.setString() 的話 只會把你傳進來的當做參數的 值,
上面那種會變成
sql = "delete from test where age <『10 and name='xx'』 " 這樣是不會有問題滴
9. java中的statement和connection
JAVA API:Statement 對象表示基本語句,其中將單個方法應用於某一目標和一組參數,以返回結果,比如"a.setFoo(b)"。注意,此示例...這並不是說只有一個Connection中多次執行的預編譯語句被緩存,而是對於整個DB中,只要預編譯的語句語法和緩存中匹配....通俗來講就是PreparedStatement能接受帶?號的String作為sql語句,並且在執行之前你可以對那些sql語句中出現的?號根據具體需要...
10. java中statement和preparedstatement都是介面,為什麼能建立對象
jdbc這一套規范 被資料庫廠商實現了 ,廠商中 實現了這些介面
例如:createStatement() 他在Connection 這個介面中,他已經被資料庫廠商實現並且重寫了 實際上 就是 多態中的 介面指向實現類 而sta實際上是實現類對象 。
下面舉個列子: 我們定義一個介面和實現類 及 測試類
publicinterfaceTest{
voidclose();
TestcreateTest();//返回Test
}//實現類
publicclasssxlimplementsTest{
@Override
publicvoidclose(){
System.out.println("我是一隻小老虎");
}
@Override
publicTestcreateTest(){
returnnewsxl();
}
}
這個類 實現了Test介面 並且重寫了裡面的方法可以看見createTest() 這個實現返回的是
Test的實現類
//測試類
publicclassMytest{
publicstaticvoidmain(String[]args){
sxls=newsxl();
Testt=s.createTest();
System.out.println(t);
}
}
Main方法中 產生了實現類對象 並且調用的createTest() 他的接收者是Test介面
這就是 多態中 介面指向實現類 列印 t 的結果為:test.sxl@dc8569 (test 這個test是sxl這個類的包) 可以看出是實現類的引用 。 希望對你有所幫助!!!
