PreparedStatement
基本用法
PreparedStatement提供的功能:
1、允许sql语句中使用?占位符,表示参数
2、支持预编译功能
3、在一定程序上可以避免sql注入漏洞
查询所有的姓yan,年龄18岁以上男学生
Connection接口
- Statement createStatement() 创建用于执行SQL语句的Statement对象
- PreparedStatement prepareStatement(String sql)创建PrepareStatement对象,用于实现数据库的动态访问
- 参数:sql —— 是SQL的INSERT,UPDATE和DELETE语句,或是无返回结果的语句
- prepareCall(sql):创建执行存储过程的callableStatement对象
- void close() 结束Connection对象对数据库的连接。强调:数据库连接属于稀有资源,必须保证及时关闭
- boolean isClose() 测试是否已经关闭Connection对象对数据库的连接
- setAutoCommit(boolean autoCommit):设置事务是否自动提交
- commit() :在链接上提交事务
- rollback() :在此链接上回滚事务
Statement接口
Statement接口用于执行静态的SQL语句,并将SQL语句的执行结果返回
-
ResultSet executeQuery(String sql) :执行SQL查询语句,返回满足条件的结果集。注意:ResultSet中并不是存储数据,而是存储一个行指针。所以必须在关闭之前操作ResultSet。如果连接关闭在访问ResultSet则异常
参数:sql —— 是SQL的SELECT语句
-
int executeUpdate(String sql) :执行SQL数据更新语句,返回值为结果集中的记录数
参数:sql —— 是SQL的INSERT,UPDATE和DELETE语句,或是无返回结果的语句
-
boolean execute(String sql) :执行任意SQL语句。如果第一个结果是ResultSet,则返回true;否则如果是整数型,则返回false。参数:sql —— 可以是任何SQL语句
-
void close() :关闭当前的Statement对象
-
通过Connection接口建立Statement对象,可以使用executeQuery()方法对数据库表中存储的数据进行查询以及使用executeUpdate()方法进行插入、修改和删除记录的操作。必须保证关闭Connection,一般建议关闭Statement
-
addBatch(String sql) :把多条sql语句放到一个批处理中
-
executeBatch():向数据库发送一批sql语句执行。
三种Statement类
- Statement:由createStatement创建,用于发送简单的静态SQL语句(不带参数)
- PreparedStatement :继承自Statement接口,由preparedStatement创建,用于发送含有一个或多个参数的SQL语句。PreparedStatement对象支持预编译,反复执行一个只是参数不同的sql语句时,比Statement对象的效率更高,并且可以防止SQL注入,所以我们一般都使用PreparedStatement
- CallableStatement:继承自PreparedStatement接口,由方法prepareCall创建,用于调用存储过程。
Statement和PreparedStatement的区别
- Statement只能处理静态SQL;
- PreparedStatement既能处理静态sql也能处理动态sql,它继承了Statement的特点
- 站在预处理角度: PreparedStatement适合做连续多次结构相同的sql语句,有优势.
- Statement适合做连续多次不同结构的sql语句,有优势.
- Sql注入漏洞,最终的解决方案还是需要通过编码实现
