日期:2014-05-20  浏览次数:21049 次

PerparedStatement 和Statement的区别?
RT

------解决方案--------------------
1. 执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象中,其后可以使用该对象高效地多次执行该语句。

2. 代码可读性:Statement 中 SQL 语句中需要 Java 中的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看;而 PreparedStatement,则不需要这样,参数可以采用“?”代替,接下来再进行参数的填充,这样利于代码的可读性,并且符合面向对象的思想。

3. 安全性:Statement 由于可能需要采取字符串与变量的拼接,很容易进行 SQL 注入攻击,而 PreparedStatement 由于是预编译,再填充参数的,不存在 SQL 注入问题。
------解决方案--------------------
楼上正解
------解决方案--------------------
1楼说的好详细,补充以下 用PreparedStatement 开发速度也会相对快一些,另外建议使用PreparedStatement 预处理方法!
------解决方案--------------------
不错
------解决方案--------------------
UP
PreparedStatement 相对于处理复杂的SQL
------解决方案--------------------
再补充一下,PreparedStatement 可以把所有对象都按照String类型赋值,避免了数据类型与格式的问题
------解决方案--------------------
恩 各有所长,具体问题具体对待.