statement和prepareStatement 的区别

Statement stmt = conn.createStatement();
if(stmt.execute(sql)){
    ResultSet rs = stmt.getResultSet();
}else{
    log.info("受影响的行 {}", stmt.getUpdateCount());
}

（1）ResultSet getResultSet()

以 ResultSet 对象的形式获取当前结果

（2）int getUpdateCount()

以更新计数的形式获取当前结果；如果结果为 ResultSet 对象或没有更多结果，则返回 -1

（3）boolean getMoreResults()

移动到此 Statement 对象的下一个结果，如果其为 ResultSet 对象，则返回 true，并隐式关闭利用方法 getResultSet 获取的所有当前 ResultSet 对象

（4）boolean getMoreResults(int current)

将此 Statement 对象移动到下一个结果，根据给定标志指定的指令处理所有当前 ResultSet 对象；如果下一个结果为 ResultSet 对象，则返回 true

（5）default long getLargeUpdateCount()

4、Batch

（1）void addBatch(String sql)

将给定的 SQL 命令添加到此 Statement 对象的当前命令列表中

（2）void clearBatch()

清空此 Statement 对象的当前 SQL 命令列表

（3）int[] executeBatch()

将一批命令提交给数据库来执行，如果全部命令执行成功，则返回更新计数组成的数组

对于batch操作，简单说就是有一个列表，保存了执行命令。

add是添加方法，clear就是清空方法，execute就是执行列表内命令。

如下面示例，将1000个“张三”分十次插入数据库：

for(int i=0;i<1000;i++){
    String sql = "insert into user(id,name,age) values (i,'张三"+i+"',18)";
    stmt.addBatch(sql);
    if(i%100 == 0){
        stmt.executeBatch();
        stmt.clearBatch();
    }
}

三、PreparedStatement常用方法

1、boolean execute()

在此 PreparedStatement 对象中执行 SQL 语句，该语句可以是任何种类的 SQL 语句。

ResultSet executeQuery()

在此 PreparedStatement 对象中执行 SQL 查询，并返回该查询生成的 ResultSet 对象。

2、int executeUpdate()

在此 PreparedStatement 对象中执行 SQL 语句，该语句必须是一个 SQL 数据操作语言（Data Manipulation Language，DML）语句，比如 INSERT、UPDATE 或 DELETE 语句；或者是无返回内容的 SQL 语句，比如 DDL 语句。

3、void addBatch()

将一组参数添加到此 PreparedStatement 对象的批处理命令中。

4、void clearParameters()

立即清除当前参数值。

5、ResultSetMetaData getMetaData()

获取包含有关 ResultSet 对象列信息的 ResultSetMetaData 对象，ResultSet 对象将在执行此 PreparedStatement 对象时返回

6、ParameterMetaData getParameterMetaData()

获取此 PreparedStatement 对象的参数的编号、类型和属性。

四、PreparedStatement代码实例

String sql = "insert into user(id,name,age) values (?,?,?)";
PreparedStatement ps = conn.prepareStatement(sql, Statement.NO_GENERATED_KEYS);
ps.setInt(1,1);
ps.setString(2,"哪吒");
ps.setInt(3,18);
ps.executeUpdate();

五、使用PreparedStatement能够预防SQL注入攻击

假如登录SQL为select * from user where name=’zs’ and password=’123′ ，如果在登录框密码处输入 “123 or 1=1”，那么SQL就成为了

select * from user where name=’zs and password=’123′ or 1=1 ，这就是SQL注入。

所谓SQL注入就是将SQL语句片段插入到被执行的语句中，把SQL命令插入到Web表单提交或者输入域名或者页面请求的查询字符串，最终达到欺骗服务器，达到执行恶意SQL命令的目的。

PreparedStatement通过预编译，原有的SQL语句中的参数转换为占位符？的形式，相当于变成了填空题，不管你输入的内容是什么，都是作为参数，而不可能作为SQL的一部分

（要注意 #与$的区别)

你把密码输入为’123 or 1=1’然后提交，他会转换为 select * from user where name=’zs and password=’123 or 1=1’，输入内容都转换为纯粹参数。

六、CallableStatement

CallableStatement继承自prepareStatement，实现了存储过程函数调用的方法以及对于输出的处理。

CallableStatement调用存储过程和函数，一个很重要的部分就是输出的处理。

在JDBC中需要使用registerOutParameter将参数注册为输出，registerOutParameter的责任就是申明XXX参数是一个输出。

对于这个参数可以使用int parameterIndex 下标索引（1开始）也可以使用String parameterName来指明，对于参数对应的类型也需要指明。

七、xml中的statementType

在mapper文件中可以使用statementType标记使用什么的对象操作SQL语句。

xml文件中通过statementType参数，选择适合的对象。

statementType取值说明：

STATEMENT：直接操作sql，不进行预编译，不带参数；
PREPARED：进行预编译，可带参数；
CALLABLE：执行存储过程；

注意：如果只为STATEMENT，那么sql就是直接进行的字符串拼接，这样为字符串需要加上引号，如果为PREPARED，是使用的参数替换，也就是索引占位符，我们的#会转换为?再设置对应的参数的值。

? 作者简介：CSDN2021博客之星亚军?、新星计划导师✌、博客专家?

? 哪吒多年工作总结：Java学习路线总结，搬砖工逆袭Java架构师

? 关注公众号【哪吒编程】，回复1024，获取Java学习路线思维导图、大厂面试真题、加入万粉计划交流群、一起学习进步

statement和prepareStatement 的区别

关注公众号，备注1024，获取Java学习路线思维导图、加入万粉计划交流群

发布者：全栈程序员-站长，转载请注明出处：https://javaforall.net/131511.html原文链接：https://javaforall.net

statement和prepareStatement 的区别

一、简介

二、statement的四种形式

1、executeQuery

2、executeUpdate

3、execute

4、Batch

三、PreparedStatement常用方法

1、boolean execute()

2、int executeUpdate()

3、void addBatch()

4、void clearParameters()

5、ResultSetMetaData getMetaData()

6、ParameterMetaData getParameterMetaData()

四、PreparedStatement代码实例

五、使用PreparedStatement能够预防SQL注入攻击

六、CallableStatement

七、xml中的statementType

相关推荐

R语言-提取字符长度nchar函数与length函数「建议收藏」

java学习——java面试【事务、锁、多线程】资料整理

Inputstream_java input

一文搞定子网划分！子网掩码！超详细例题解析！[通俗易懂]

范围管理论文_论管理的职能论文

“栈”的典型应用—表达式求值（C语言实现）

发表回复