javastatement
1. java PreparedStatement与Statement区别
1、 PreparedStatement接口继承Statement, PreparedStatement 实例包含已编译的 sql 语句,所以其执行速度要快于 Statement 对象。2、作为 Statement 的子类,PreparedStatement 继承了 Statement 的所有功能。三种方法
execute、 executeQuery 和 executeUpdate 已被更改以使之不再需要参数
3、在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替
Statement.也就是说,在任何时候都不要使用Statement.
基于以下的原因:
一.代码的可读性和可维护性.
虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:
stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");//stmt是Statement对象实例
perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate(); //prestmt是 PreparedStatement 对象实例
不用我多说,对于第一种方法.别说其他人去读你的代码,就是你自己过一段时间再去读,都会觉得伤心.
二.PreparedStatement尽最大可能提高性能.
语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:
insert into tb_name (col1,col2) values ('11','22');
insert into tb_name (col1,col2) values ('11','23');
即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.
当然并不是所以预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.
三.最重要的一点是极大地提高了安全性.
即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道.
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我们把[' or '1' = '1]作为varpasswd传入进来.用户名随意,看看会成为什么?
select * from tb_name = '随意' and passwd = '' or '1' = '1';
因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者:
把[';drop table tb_name;]作为varpasswd传入进来,则:
select * from tb_name = '随意' and passwd = '';drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.
而如果你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.只要全使用预编译语句,你就用不着对传入的数据做任何过虑.而如果使用普通的statement,有可能要对drop,;等做费尽心机的判断和过虑.
2. java statement到底是怎样执行查询的
java statement在查询的时候 ,就是用连接对象调用方法execute...执行sql语句,而sql语句就是查询数据最核心最关键的一段代码, 建议楼主先看看Statement语句, 然后再去看看PrepareStatement语句,后者相比于前者,有四个优点,分别是:
1, 可读性好----写的sql看起来简单明了, 易于读取和维护
2. 维护性好 ---前面这两个点是很只观的一个感受, 比如你自己分别用这两种语句,去写一条更新数据库的sql, 这个时候你一眼就能感受到PrepareStatement的可读性与维护性
3. 性能更好---由于PrepareStatement里面有一个类似缓冲区的设计, 就是会把相同的sql语句存放在里面, 当以后再遇到同样的sql语句, 它在内部就省去了很多对sql语句进行语法等判断的过程, 所以性能上优于Statement
4. 安全性好,可以防止一般的sql注入攻击, 有这个有点主要是由于前者的sql语句在拼接的过程中 很可能会出现歧义 具体的楼主可以在网上搜一下sql注入式攻击的情况.
说了这么多 不知道楼主是否能看懂, 如果有问题 随时可以交流
3. statement在java的哪个类中
java.sql下,不需要jar。
输入Statement后,使用鼠标移动到其上import package,或者ctrl+shift+m单个引入,或者ctrl+shift+o引入所有未导入的包。再观察其所在包。
4. 在java中Statement 对象如何创建和使用
首先要导入java.sql.*这个包
然后加载驱动,
创建链接,
得到Connection接口的实现对象,比如对象名叫conn。
然后再用conn对象去创建Statement的实例,方法是:
Statement
stmt=
conn.createStatement(SQL语句字符串);
以上就是创建Statement的具体方法~
5. statement是java的接口还是类呢
jdbc规范。java只是提供了一套接口,具体的实现类由数据库厂商提供。想要连接数据库,就要有数据库连接的jar包,这个包就有实现了这个接口的具体实现类。
还有hibernate实现的jpa,也是这个原理。
6. statement在Java表示什么
statement是Java语句, Java语句表示某种操作, 但是没有返回值。 例如 a = 5, if语句, break语句。
7. Java中的Statement类是干什么用的
简单介绍如下:
Statement 是 Java 执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句。
与此差不多的还有PreparedStatement,PreparedStatement 继承了Statement,一般如果已经是稍有水平开发者,应该以PreparedStatement代替Statement。
8. Java中PreparedStatement和Statement有什么区别 在安全性上
PreparedStatement 可以自己set 值进去 , 而 Statement 只是简单的拼 SQL。所以PreparedStatement相对要安全得多。
like :table Test 里面有两个值 name,age
PreparedStatement p=null;
String sql2 =
"delete from test where age < :x ";
pst2 = conn.prepareStatement(sql2);
pst2.setInt(1, 10); // 这里的10 为之前 :x 处应该传进去的值
而如果是用 Statement
like:
Statement s = conn.createStatement();
String sql = "delete from test where age < " + x; // x=10
s.execute(sql);
想想 这里 要是传进来的x 是 10 and name='xx' 呢?
sql = "delete from test where age < 10 and name='xx' "
是不是 Statement 也照样执行了 所以这样很不安全 因为别人可以随意传数值,和参数。
要是 jion 别的table? 天 你什么信息都可能被拿走
而如果是PreparedStatement.setString() 的话 只会把你传进来的当做参数的 值,
上面那种会变成
sql = "delete from test where age <‘10 and name='xx'’ " 这样是不会有问题滴
9. java中的statement和connection
JAVA API:Statement 对象表示基本语句,其中将单个方法应用于某一目标和一组参数,以返回结果,比如"a.setFoo(b)"。注意,此示例...这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配....通俗来讲就是PreparedStatement能接受带?号的String作为sql语句,并且在执行之前你可以对那些sql语句中出现的?号根据具体需要...
10. java中statement和preparedstatement都是接口,为什么能建立对象
jdbc这一套规范 被数据库厂商实现了 ,厂商中 实现了这些接口
例如:createStatement() 他在Connection 这个接口中,他已经被数据库厂商实现并且重写了 实际上 就是 多态中的 接口指向实现类 而sta实际上是实现类对象 。
下面举个列子: 我们定义一个接口和实现类 及 测试类
publicinterfaceTest{
voidclose();
TestcreateTest();//返回Test
}//实现类
publicclasssxlimplementsTest{
@Override
publicvoidclose(){
System.out.println("我是一只小老虎");
}
@Override
publicTestcreateTest(){
returnnewsxl();
}
}
这个类 实现了Test接口 并且重写了里面的方法可以看见createTest() 这个实现返回的是
Test的实现类
//测试类
publicclassMytest{
publicstaticvoidmain(String[]args){
sxls=newsxl();
Testt=s.createTest();
System.out.println(t);
}
}
Main方法中 产生了实现类对象 并且调用的createTest() 他的接收者是Test接口
这就是 多态中 接口指向实现类 打印 t 的结果为:test.sxl@dc8569 (test 这个test是sxl这个类的包) 可以看出是实现类的引用 。 希望对你有所帮助!!!