看清preparedstatement与statement的一点区别

 

       二者之间的最大差别无疑是由prepared引起的.  http://baike.baidu.com/view/890310.htm 

 

prepared [prɪ'pɛrd] 

[词典释义]

a. 1. 有准备的 2. (食物等)经过调制的

 

源文档 <http://www.baidu.com/baidu?word=prepared&tn=myie2&ch=4>

 

         与此相关程度最大的，便是在执行SQL命令的时候，无论多少次地使用同一个SQL命令，PreparedStatement都只对它解析和编译一次（这就是预编译的好处体现），而比较于Statement这个普通的对象，每次执行同一个SQL命令都会重新对其进行解析和编译。

 

         这样便带来了有关数据库性能的问题讨论，使用PreparedStatement执行大量SQL命令时效率性能要比Statement对象强上一些。

 

         我们都知道SQL注入问题，也就是说在一些公共的Web站点上，由于网站设计者的疏忽等等，使得恶意用户可以利用一些SQL语句技巧拼接字符串，进而删除用户数据或破坏Web站点正常运行。

 

         在PreparedStatement对象的应用中，我们可以使用参数传递具体的数值，规避这种恶意用户通过输入非法字符串而破坏Web系统的情况。同样，这是Statement对象所不具有的一点。

 

String sql ="select * from t_user where name=?"; PreparedStatement pstmt = null; ResultSet rs = null; try{ pstmt = conn.prepareStatement(sql); pstmt.setInt(1, "lfsfxy9"); rs = pstmt.executeQuery(); }finally{ }