今天，边肖将与你分享一个关于在JDBC使用陈述和准备的解释。边肖觉得内容挺好的，现在分享给大家，很有参考价值。有需要的朋友一起看看吧。

语句对象用于执行SQL语句。

PreparedStatement:预编译的语句对象，是语句的子接口。

一.性能和代码编写的简洁程度方面

它允许数据库预编译SQL语句(这些SQL语句通常是有参数的)，以后每次只需要改变SQL命令的参数，这样就避免了数据库每次都要编译SQL语句，提高了性能。例如连接数据库部分

//驱动、url、用户、passwd等。已经被定义了。

//加载驱动程序

Class.forName(驱动程序)；

//获取连接

connection conn=driver manager . get connection(URL，user，passwd)；

Statement：

//创建带有连接的语句

语句stmt=conn.createStatement() {

//插入100条记录的100条SQL语句

for(int I=0；i 100i ) {

stmt . execute update(' insert into student values(' null，' aaa' i ' '，90))；

}

}

PreparedStatement：

//创建带有连接的PreparedStatement

PreparedStatement pstmt=conn，getprepared statement(' insert into student _ table values(null， 90)') {

//设置参数，传入参数100次而不是SQL语句100次。

for(int I=0；i 100i ) {

Pstmt.setString(1，' name ' I)；

//执行

PS TMT . execute update()；

}

}

通过运行上面的代码，可以发现PreparedStatement插入100条记录比语句插入100条记录花费的时间要少。而且在代码中可以看到，带参数的SQL语句需要拼接参数来创建语句对象，但是PreparedStatement会简单很多。

完成代码步骤github:StatementPrepareStatement

运行结果：

二.安全方面

由于PreparedStatement不需要拼接，也可以防止SQL注入，提高安全性。

注意：SQL注入是一种黑客入侵方法，从SQL语句的漏洞入侵。

例如，对于一个登录页面，我们从表单中获取参数，并将它们与数据库中的数据进行比较。当比较该帐户的密码时，登录成功：

Statement：

//传入的参数username和passwd是提交的信息

String sql='select * from users ' '，其中username=' ' username ' '，password=' ' passwd

RS=stmt . execute query(SQL)；

如果在用户名框中输入了：'或true或'，则拼接的SQL语句将变为：

select * from users其中用户名=“”或true或“”，desc=“”；

如果结果为真，SQL会将其视为直接量，那么登录会直接成功。

PreparedStatement：

//传入的参数username和passwd是提交的信息

prepared statement pstmt=conn . getprepared statement(' select * from users where username=？和密码=？');

pstmt.setString(1，用户名)；

pstmt.setString(2，passwd)；

从上面可以看出，PreparedStatement比Statement有三个优点：

1.预编译，性能良好

2.无拼接，易写易读

3.预防SQL注入和提高安全性

总结

这就是本文的全部内容。希望这篇文章的内容对你的学习或工作有一定的参考价值。谢谢你的支持。如果你想了解更多，请查看下面的相关链接。

郑重声明：本文由网友发布，不代表盛行IT的观点，版权归原作者所有，仅为传播更多信息之目的，如有侵权请联系，我们将第一时间修改或删除，多谢。