学习总结转载,有改动,建议移步原作者。
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yudianxiaoxiao/article/details/100879175
一、语法
两者的语法区别
statement语法
Statement st=conn.createStatement();
//执行sql语句,放进结果集中,execute执行,executeQuery()放入到结果集中
//executeQuery只能用于查询,execute方法才可以执行insert,update,delete操作。
ResultSet rs=st.executeQuery("select * from emp");
preparedstatement
String sql="update emp set job=? where job=?";
PreparedStatement ps=conn.prepareStatement(sql);
ps.setString(1,"manager");
ps.setString(2,"managet");
int i=ps.executeUpdate();
System.out.println(i);
二、访问数据库的速度
prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。
createStatement不会初始化,没有预处理,每次都是从0开始执行SQL
PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。
这种转换也给你带来很大的便利,不必重复SQL语句的句法,而只需更改其中变量的值,便可重新执行SQL语句。选择PreparedStatement对象与否,在于相同句法的SQL语句是否执行了多次,而且两次之间的差别仅仅是变量的不同。如果仅仅执行了一次的话,它应该和普通的对象毫无差异,体现不出它预编译的优越性。
三、prepareStatement批量执行:
好处:Update大量的数据时, 先构建一个INSERT语句再多次的执行, 会导致很多次的网络连接.。要减少JDBC的调用次数改善性能, 可以使用PreparedStatement的AddBatch()方法一次性发送多个查询给数据库。
// 初始实现:
PreparedStatement ps = conn.prepareStatement(
"INSERT into db_user values (?, ?, ?)");
for (n = 0; n < 100; n++) {
ps.setString(name[n]);
ps.setLong(id[n]);
ps.setInt(salary[n]);
ps.executeUpdate();
}
//改进实现:
//使用Batch功能
PreparedStatement ps = conn.prepareStatement(
"INSERT into db_user values (?, ?, ?)");
for (n = 0; n < 100; n++) {
ps.setString(username[n]);
ps.setString(password[n]);
ps.addBatch();
}
ps.executeBatch();
四、SQL注入漏洞:
Statement stmt = connect.createStatement();
String sql= "SELECT * FROM cg_user WHERE userId"+ userId +" AND name LIKE " + name";
ResultSet rs = stmt.executeUpdate(sql);
假如入参name的值为 or '1' = '1' 那么SQL是成立的,就会返回所有数据,或者变成这个[‘;drop table cg_user ;],那么SQL拼接后就变成:
SELECT * FROM cg_user WHERE userId='' AND name LIKE '' ;
drop table cg_user ;
如果使用prepareStatement预编译就不会了,因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析和编译,对应的执行计划也会缓存下来,之后数据库就会以参数化的形式进行查询。set值永远是把占位符当成data处理。
PreparedStatement preparedStatement = connect.prepareStatement("SELECT * FROM cg_user WHERE userId= ? AND name LIKE ?");
preparedStatement .setInt(1, '');
preparedStatement .setString(2, "; drop table cg_user");
preparedStatement .executeUpdate();
sql会变成:
SELECT * FROM cg_user WHERE userId='' AND name LIKE '; drop table cg_user' ;
总结:
JDBC驱动的最佳化是基于使用的是什么功能,选择PreparedStatement还是Statement取决于你要怎么使用它们,对于只执行一次的SQL语句选择Statement是最好的。相反,如果SQL语句被多次执行选用PreparedStatement是最好的。
PreparedStatement的第一次执行消耗是很高的,它的性能体现在后面的重复执行,使用PreparedStatement的方式来执行一个针对数据库表的查询,JDBC驱动会发送一个网络请求到数据解析和优化这个查询,而执行时会产生另一个网络请求,在JDBC驱动中,减少网络通讯是最终的目的。如果我的程序在运行期间只需要一次请求, 那么就使用Statement,对于Statement,同一个查询只会产生一次网络到数据库的通讯。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
