PreparedStatement的用法

最新推荐文章于 2025-06-30 18:15:59 发布
最新推荐文章于 2025-06-30 18:15:59 发布
阅读量7.9k 收藏 16
点赞数 3
分类专栏: 笔记
本文探讨了在Java开发中使用PreparedStatement替代Statement的重要性。通过预编译SQL语句,不仅提高了代码的可读性和可维护性,还显著提升了应用程序性能,并增强了安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一个PreparedStatement是从java.sql.connection对象和所提供的sql字符串得到的,sql字符串中包含问号(?),这些问号标明变量的位置,然后提供变量的,最后执行语句,例如:

String sql = "select id,name from student where id=? andname=?";

PreparedStatement ps =conn.prepareStatement(sql);
ps.setint(1,id);
ps.setstring(2,name);
ResultSet rs = ps.executeQuery();
在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.除非只有在完全是因为性能原因或者是在一行sql语句中没有变量的时候才使用通常的statement。

基于以下的原因:
一.代码的可读性和可维护性.

虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:


二.PreparedStatement尽最大可能提高性能

每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:
insert into tb_name (col1,col2) values ('11','22');
insert into tb_name (col1,col2) values ('11','23');
即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.

当然并不是所以预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.


三.最重要的一点是极大地提高了安全性

编写SQL语句,尤其是要插入多个Filed时,是一件非常麻烦的事情,  使用PreparedStatement可以使代码变得更优雅一些,虽然会有些长, 但会更条理, 而且PreparedStatement更高于SQL语句 - 相对来说不太容易随着数据库版本改变而变动. 另外preparedstatement效率更高,安全性更好

一个完整的实例

import java.sql.*;

public class TestPreStmt {

 
 public static void main(String[] args) {
  ResultSet rs = null;
  Connection conn = null;
  PreparedStatement pst =null;
    try {
      //第一步:加载MySQL的JDBC的驱动
        Class.forName("com.mysql.jdbc.Driver"); 
       //取得连接的url,能访问MySQL数据库的用户名,密码;数据库名
         String url = "jdbc:mysql://localhost:3306/2";
         String user = "root";
         String password = "19870714";
       //第二步:创建与MySQL数据库的连接类的实例
         conn = DriverManager.getConnection(url, user, password);
       //第三步:用conn创建Statement对象类实例 stmt
          String sql = "select id,name fromstudent where id=? andname=?";
         pst =conn.prepareStatement(sql);   
          pst.setInt(1, 1);
         pst.setString(2,"张三");
         rs=pst.executeQuery();
         while(rs.next()){
          System.out.println(rs.getString("id"));
          System.out.println(rs.getString("name"));
         }
         
        String ps = "insert into studentvalues(?,?,?)"; 
        pst = conn.prepareStatement(ps);
        pst.setInt(1, 5);
        pst.setString(2, "pig");
        pst.setString(3, "m");
        pst.executeUpdate();
    } catch (ClassNotFoundException e){  
    //加载JDBC错误,所要用的驱动没有找到
     System.out.println("驱动加载错误");
  }catch (SQLException ex){
   //显示数据库连接错误或查询错误
    System.err.println("SQLException:"+ex.getMessage());
  }finally {
    try{
      
        if(pst != null) {
         pst.close();
         pst = null;
        }
        if(conn != null) {
         conn.close();
         conn = null;
        }
    }catch(SQLException e) {
    System.err.println("SQLException:"+e.getMessage());
    }
  }
 }

}
PreparedStatement接口
08-06
NULL 博文链接:https://chaoyi.iteye.com/blog/2088080
java sql.setInt_java – PreparedStatementsetInt()无法在PostgreSQL上运行
weixin_29435467的博客
03-06 1025
我在Eclipse上使用PostgreSQL 9.1和Tomcat 7.连接是通过连接池进行的.当我为PreparedStatement使用setInt()方法时,不返回任何内容.打印PreparedStatement时,’?’被一些奇怪的String取代我想是对象的引用.当我使用方法setObject()和相应的Type.INTEGER时,打印的语句包含正确的值但是作为String,并强制要求I...
java数据库编程(5) 使用preparedStatement
weixin_39452731的博客
10-13 462
preparedStatement是一种带有占位符(?)的sql语句,它可以将预编译的sql语句存储起来,然后可以使用这个预编译好的sql语句多次高效地执行传入具体参数的sql语句。 例如执行 insert into table xxx values(1);  insert into table xxx values(2); ... 这样结构相同,只是具体的数据不通过的语句,就可以使用Prepa...
PreparedStatement详解
最新发布
echo_123qq的博客
06-30 1008
PreparedStatement 是 JDBC 中用于执行预编译 SQL 语句的接口,它继承自 Statement 接口,提供了更安全、更高效的 SQL 执行方式。
preparedstatement方法
u010822824的专栏
03-30 1687
void addBatch() 将一组参数添加到此 PreparedStatement 对象的批处理命令中。 void clearParameters() 立即清除当前参数值。 boolean execute() 在此 PreparedStatement 对象中执行 SQL 语句,该语句可以是任何种类的 SQL 语句。 ResultSet executeQuery()
PreparedStatement ps = conn.prepareStatement(sql);在eclipse中跑不通的问题,http报错500
XRN的博客
05-20 3万+
博主在eclipse中运行tomcat跑web项目进行学习的时候,愣是发现老是报错500,500不是404这种连不上数据库的问题。百度了好多都是说标题这句话传的是空指针导致错误,可是我感觉我的问题跟这个空指针有点不一样的。具体代码如下public class UserDAO { //用户名、密码、手机号 //数据的插入 //sql // insert into 表名(字段名1,字段名2,....
PreparedStatement.SetDate
lonely7345的专栏
04-28 3349
今天做到数据库这部分,想通过使用预备语句插入日期部分,一开始猜应该有PreparedStatement.setDate,就使用这个插入,而且我预选的值是java.util.Date结果说类型不符合后来,我改成PreparedStatement.setDate((java.sql.Date)date)强制转换,运行的时候还会出错,说转换不成功唉....后在在网上查到,可以通过下面
PreparedStatement用法
11-03
- 使用`setXXX()`方法,如`setInt(int parameterIndex, int value)`设置整数,`setString(int parameterIndex, String value)`设置字符串等。 ```java pstmt.setInt(1, 42); pstmt.setString(2, "example"); ``...
preparedstatement用法
06-06
1. 创建 PreparedStatement 对象:使用 Connection 的 prepareStatement() 方法创建一个 PreparedStatement 对象。 2. 设置 SQL 参数:使用 PreparedStatement 的 setXXX() 方法设置 SQL 语句中的参数(XXX 是参数...
preparedStatement用法
06-03
1. 创建 PreparedStatement 对象:使用 Connection 的 prepareStatement() 方法创建一个 PreparedStatement 对象。 2. 设置 SQL 参数:使用 PreparedStatement 的 setXXX() 方法设置 SQL 语句中的参数(XXX 是参数...
java中PreparedStatement类的setString用法
热门推荐
nc_yongyou的专栏
09-03 3万+
java中PreparedStatement类的setString用法 [ 标签:java, preparedstatement, 用法 ] 匿名 2009-05-15 14:40 文档中是这样写的void setString(int parameterIndex,String x) conn = DriverManager.getConnection(url, userName, pas
PreparedStatement
顺其自然~专栏
12-02 853
总之, 对于预先准备语句,我们应该使用参数化的查询。这样允许数据库重用已经存在的访问方案,从而减轻数据库的负担。这样的缓冲区是这个数据库范围的,所以你可以安排你所有的应用程序,使用相似的参数化的 SQL,就会提高这样的缓冲区方案的效率,因为一个应用程序 可以使用另一个应用程序的语句。一个应用服务器的优势也在于此,因为访问数据库的逻辑应该集中在数据访问层上(OR映射,实体bean或者直接JDBC),最后, 预先准备语句的正确使用也让你利用应用程序服务器的预先准备语句的缓冲区的好处。
PreparementStatement接口
06-17 4010
在敲机房收费系统的时候,就曾经遇到过SQL注入的问题,也写过一篇博客。而在学习java的过程中,有一次遇到了,不错的是,JDBC为我们提供了一个PreparementStatement接口,可以防止SQL的注入,下面介绍一下。   1.SQL注入问题 在以前过程中,总是采取拼接SQL语句的方式,来实现数据的增删改查! String Sql=select * from user whe
JDBC之使用PreparedStatement操作数据库
小高的博客
07-06 1440
PreparedStatement介绍:可以通过调用 Connection 对象的方法获取 PreparedStatement 对象PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。
PreparedStatement实现数据表的操作
qq_44400944的博客
06-08 530
​ //3.获取连接 con = DriverManager.getConnection(url, user, password); //4.预编译sql语句,返回PreparedStatement的实例 String sql = "insert into customers(name,email,birth)value(?,?,?)";//?:占位符 ps = con.prepareStatement(sql); //5.填充占位符 ps.setString(1, "娜扎"); ps.setStri.
PreparedStatement中文资料
太康的专栏--156级台阶
12-01 1408
PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。  包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN 参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个问号的值必须在该语句执行之前,通过适当的 setXXX 方法来提供。  由于 Prepa
PreparedStatement实现对数据库表的操作
Yajyaj123的博客
01-26 853
PreparedStatement实现对数据库表的操作,来看看吧!
SQL注入问题&&PreparedStatement
详情请看注释
11-27 964
SQL注入问题 我们来看账号登录程序(点击)的代码,我们表中的数据为: 我们运行输入如下数据: 竟然运行成功了。 我们思考,上面输入的数据用户名一看就是瞎写的,但是密码看起来貌似和很有章法,or 和单引号都容易让我们想到sql语句中的判断语句 所以我们观察代...
prepareStatement的用法和解释
artemical的博客
09-24 284
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值