PreparedStatement真的比Statement快吗?

最新推荐文章于 2025-06-30 18:15:59 发布
最新推荐文章于 2025-06-30 18:15:59 发布 · 766 阅读 · 0
文章标签:

#SQL #JDBC #企业应用 #BBS #thread

本文通过实验对比了PreparedStatement与Statement在不同场景下的性能表现,探讨了两者在执行效率上的差异。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关键字: 企业应用   jdbc    

从开始写java程序就一直被灌输着一种思想,如果使用jdbc一定要使用PreparedStatement,而不要使用Statement对象。
其中的原因有好多,比如可以防止SQL注入攻击,防止数据库缓冲池溢出,代码的可读性,可维护性。这些都很正确。
但是还有一点人们经常提的就是PreparedStatement能够显著的提高执行效率。
看了两篇关于PreparedStatement和Statement的帖子
http://dev2dev.bea.com.cn/bbs/thread.jspa?forumID=121&threadID=10397&start=0&tstart=0
http://www.iteye.com/topic/5631?page=1
里面提到,PreparedStatement并不一定比Statement快,于是想自己动手测试一下
一共分5种情况测试

代码
  1. stmt      pre-stmt     
  2. --1:每次都单独连数据库--100条   
  3. 21.936  22.076  
  4. 22.05     22.051       
  5. 22.172  22.178     
  6. --2:Stmt使用相同的SQL语句,参数值也相同--100条   
  7. 0.78      0.796    
  8. 0.718     0.749    
  9. 0.749     0.764    
  10. --3:Stmt使用相同的SQL语句,参数值不同--100条   
  11. 0.967     0.749    
  12. 0.78      0.874    
  13. 0.749     0.749    
  14. --4:Stmt使用相同的SQL语句,参数值也相同--10000条   
  15. 33.079  36.154     
  16. 34.156  39.306     
  17. 34.359  36.138     
  18. --5:Stmt使用相同的SQL语句,参数值不同--10000条   
  19. 32.799  34.125     
  20. 32.564  35.53      
  21. 35.701  34.952     
  22. 32.582  40.798     
  23. 38.893  42.345     
  24. 35.082  41.736     
<script>render_code();</script>
分析:
第一种情况:
由于我测试时采用jdbc直接链接数据库,所以在第一种情况下插入速度很慢,时间都消耗在了数据库链接的创建上了,符合常理,没什么疑义。
第二种情况:
由于使用Statement插入时sql语句都相同,我通过阅读上面的两篇帖子,猜想可能是Statement语句也被DB缓存了,所以跟
PreparedStatement速度差不多,我想如果每次插入的sql都不同,那么Statement应该慢下来了吧。
第三种情况:
并非像我在执行第二种情况时想象的那样,PreparedStatement还是跟Statement差不多,于是我想是不是数据量不够大呀,于是我增大了
插入数据量,希望PreparedStatement能够比Statement快些
第四/五种情况:
测试结果PreparedStatement反到更慢了。

PreparedStatement什么情况下才会比Statement快?那位大侠来指点一下!

代码如下:
DDL
代码
  1. CREATE TABLE dbo.jdbc_stmt    
  2. (   
  3.     id   numeric(10,0) IDENTITY,   
  4.     name varchar(10)   NOT NULL,   
  5.     grad int           NOT NULL,   
  6.     age  int           NOT NULL,   
  7.     dept int           NOT NULL   
  8. )   
<script>render_code();</script>
测试程序
代码
  1. public void jdbcStmtPerformance()   
  2.     {   
  3.         //1:每次都单独连数据库--100条   
  4. //      String stmtSQL = "insert into jdbc_stmt values('ivanl',2,25,1001)";   
  5. //      for(int i = 0; i< 100; i++)   
  6. //      {   
  7. //          logger.debug("stmt #"+i);   
  8. //          getJdbcTemplate().update(stmtSQL);   
  9. //      }   
  10.            
  11.         //2:Stmt使用相同的SQL语句,参数值也相同--100条   
  12. //      getJdbcTemplate().execute(new StatementCallback(){   
  13. //          public Object doInStatement(Statement stmt) throws SQLException   
  14. //          {   
  15. //              String stmtSQL = "insert into jdbc_stmt values('ivanl',2,25,1001)";   
  16. //              for(int i = 0; i< 100; i++)   
  17. //              {   
  18. //                  logger.debug("stmt #"+i);   
  19. //                  stmt.executeUpdate(stmtSQL);   
  20. //              }   
  21. //              return null;   
  22. //          }   
  23. //      });   
  24.            
  25.         //3:Stmt使用相同的SQL语句,参数值不同--100条   
  26. //      getJdbcTemplate().execute(new StatementCallback(){   
  27. //          public Object doInStatement(Statement stmt) throws SQLException   
  28. //          {   
  29. //              String stmtSQL = "insert into jdbc_stmt values('ivanl',2,25,";   
  30. //              for(int i = 0; i< 100; i++)   
  31. //              {   
  32. //                  logger.debug("stmt #"+i);   
  33. //                  stmt.executeUpdate(stmtSQL+i+")");   
  34. //              }   
  35. //              return null;   
  36. //          }   
  37. //      });   
  38.            
  39. //      4:Stmt使用相同的SQL语句,参数值也相同--10000条   
  40. //      getJdbcTemplate().execute(new StatementCallback(){   
  41. //          public Object doInStatement(Statement stmt) throws SQLException   
  42. //          {   
  43. //              String stmtSQL = "insert into jdbc_stmt values('ivanl',2,25,1001)";   
  44. //              for(int i = 0; i< 10000; i++)   
  45. //              {   
  46. //                  logger.debug("stmt #"+i);   
  47. //                  stmt.executeUpdate(stmtSQL);   
  48. //              }   
  49. //              return null;   
  50. //          }   
  51. //      });   
  52.            
  53. //      5:Stmt使用相同的SQL语句,参数值不同--10000条   
  54.         getJdbcTemplate().execute(new StatementCallback(){   
  55.             public Object doInStatement(Statement stmt) throws SQLException   
  56.             {   
  57.                 String stmtSQL = "insert into jdbc_stmt values('ivanl',2,25,";   
  58.                 for(int i = 0; i< 10000; i++)   
  59.                 {   
  60.                     logger.debug("stmt #"+i);   
  61.                     stmt.executeUpdate(stmtSQL+i+")");   
  62.                 }   
  63.                 return null;   
  64.             }   
  65.         });   
  66.     }   
  67.        
  68.        
  69.     public void jdbcPreStmtPerformance()   
  70.     {   
  71.         //1:每次都单独连数据库--100条   
  72. //      String stmtSQL = "insert into jdbc_stmt values(?,?,?,?)";   
  73. //      for(int i = 0; i< 100; i++)   
  74. //      {   
  75. //          logger.debug("pre-stmt #"+i);   
  76. //          getJdbcTemplate().update(stmtSQL, new Object[]{"ivanl", new Integer(2), new Integer(25), new Integer(1002)});   
  77. //      }   
  78.            
  79.         //2:Stmt使用相同的SQL语句,参数值也相同--100条   
  80. //      String stmtSQL = "insert into jdbc_stmt values(?,?,?,?)";   
  81. //      getJdbcTemplate().execute(stmtSQL,new PreparedStatementCallback(){   
  82. //          public Object doInPreparedStatement(PreparedStatement ps)  throws SQLException   
  83. //          {   
  84. //              for(int i = 0; i< 100; i++)   
  85. //              {   
  86. //                  logger.debug("pre-stmt #"+i);   
  87. //                  ps.setString(1, "ivanl");   
  88. //                  ps.setInt(2, 2);   
  89. //                  ps.setInt(3, 25);   
  90. //                  ps.setInt(4, 1002);   
  91. //                  ps.execute();   
  92. //              }   
  93. //              return null;   
  94. //          }   
  95. //      });   
  96.         //3:Stmt使用相同的SQL语句,参数值不同--100条   
  97. //      String stmtSQL = "insert into jdbc_stmt values(?,?,?,?)";   
  98. //      getJdbcTemplate().execute(stmtSQL,new PreparedStatementCallback(){   
  99. //          public Object doInPreparedStatement(PreparedStatement ps)  throws SQLException   
  100. //          {   
  101. //              for(int i = 0; i< 100; i++)   
  102. //              {   
  103. //                  logger.debug("pre-stmt #"+i);   
  104. //                  ps.setString(1, "ivanl");   
  105. //                  ps.setInt(2, 2);   
  106. //                  ps.setInt(3, 25);   
  107. //                  ps.setInt(4, i);   
  108. //                  ps.execute();   
  109. //              }   
  110. //              return null;   
  111. //          }   
  112. //      });   
  113.         //4:Stmt使用相同的SQL语句,参数值也相同--10000条   
  114. //      String stmtSQL = "insert into jdbc_stmt values(?,?,?,?)";   
  115. //      getJdbcTemplate().execute(stmtSQL,new PreparedStatementCallback(){   
  116. //      public Object doInPreparedStatement(PreparedStatement ps)  throws SQLException   
  117. //      {   
  118. //          for(int i = 0; i< 10000; i++)   
  119. //          {   
  120. //              logger.debug("pre-stmt #"+i);   
  121. //              ps.setString(1, "ivanl");   
  122. //              ps.setInt(2, 2);   
  123. //              ps.setInt(3, 25);   
  124. //              ps.setInt(4, 1002);   
  125. //              ps.execute();   
  126. //          }   
  127. //          return null;   
  128. //      }   
  129. //  });   
  130.         //5:Stmt使用相同的SQL语句,参数值不同--10000条   
  131.         String stmtSQL = "insert into jdbc_stmt values(?,?,?,?)";   
  132.         getJdbcTemplate().execute(stmtSQL,new PreparedStatementCallback(){   
  133.             public Object doInPreparedStatement(PreparedStatement ps)  throws SQLException   
  134.             {   
  135.                 for(int i = 0; i< 10000; i++)   
  136.                 {   
  137.                     logger.debug("pre-stmt #"+i);   
  138.                     ps.setString(1"ivanl");   
  139.                     ps.setInt(22);   
  140.                     ps.setInt(325);   
  141.                     ps.setInt(4, i);   
  142.                     ps.execute();   
  143.                 }   
  144.                 return null;   
  145.             }   
  146.         });   
  147.            
  148.     }   
fengpeng120
关注
中级JAVA:JDBCPreparedStatementStatement的差别
数字成都
03-15 1062
Statement对象: 用于执行不带参数的简单SQL语句; 特点: a. 只执行单条的sql语句; b. 只能执行不带参数的sql语句; c.运行原理的角度,数据库接收到sql语句后需要对该条sql语句进行编译后才执行; d.与其它接口对比,适合执行单条且不带参数的sql语句,这种情况执行效率相对较高。 PreparedStatement对象 执行带或不带 IN 参数的预编译 SQL 语...
为什么使用PreparedStatement而不是Statement
m0_46552684的博客
06-26 1080
SQL注入是一种网络安全攻击技术,其原理在于利用web应用程序对用户输入数据的合法性判断或过滤不严的漏洞,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,从而欺骗数据库服务器执行非授权的任意查询,进而获取或篡改数据库中的敏感信息。在安全性、性能、代码可读性、数据类型自动转换、支持批量操作以及资源管理等方面都优于。通过以上措施,可以大大降低Web应用程序遭受SQL注入攻击的风险。,因此在开发中推荐使用。
PreparedStatementStatement插入速度比较
wukaishanda08的专栏
07-03 1143
因为自己曾写过一个新浪微博爬虫,使用的是Mysql数据库,爬虫经常需要往数据库中一次性存入千条或者万条数据,因此插入速度是一个很关键的点。因此在网上搜了下能够改进批量插入速度的方法,偶然看到可以使用PreparedStatement代替Statement,基本原理就是PreparedStatement可以利用到数据库的预编译功能,当结构相同的sql语句频繁被重复使用时,PreparedStatem
PreparedStatement详解
最新发布
echo_123qq的博客
06-30 1021
PreparedStatementJDBC 中用于执行预编译 SQL 语句的接口,它继承自 Statement 接口,提供了更安全、更高效的 SQL 执行方式。
JDBCPreparedStatement相较于Statement的优点
qq_41998938的博客
04-27 357
之前执行sql语句都是用Statement执行的,但是学习了PreparedStatement之后发现PreparedStatement更好用,下面就来说一下PreparedStatement的优点。 优点1: Statement需要进行字符串拼接,可读性和维护性比较差 String sql = “insert into hero values(null,”+"‘提莫’"+","+313.0f...
PreparedStatement的解释和优势,PreparedStatementStatement的比较
qq_37020594的博客
10-10 2217
PreparedStatement的解释:   PreparedStatement是java.sql包下的一个接口,用来执行sql语句查询,通过调用conn.prepareStatement(sql)方法可以获得PreparedStatement对象。   从上图可知PreparedStatement继承于Statement,但PreparedStatementStatement有很大不同。 ...
PreparedStatement比较Statement
Allen的技术天空
12-28 1080
<br /><br />关于PreparedStatementStatement的比较,网络上已经有许多文章告诉我们要使用PreparedStatement来代替Statement。<br />大致的原因是:<br /> 1、预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个函数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于
PreparedStatementStatement的区别是什么
m0_46552684的博客
06-25 932
综上所述,PreparedStatementStatement在安全性、性能、灵活性和可重用性等方面存在显著差异。在选择使用哪个接口时,需要根据具体的应用场景和需求进行权衡。PreparedStatementStatement都是Java中用于执行SQL语句的接口,但它们之间存在显著的差异。
StatementPreparedStatement 详解
yjp1240201821的博客
07-27 1117
本节主要讲解StatementpreparedStatement,从其相关的定义,优缺点和区别等等帮助理解。
PreparedStatementStatement
03-22
- **性能**:由于预编译,`PreparedStatement`通常比`Statement`更,尤其是在大量重复执行相同SQL时。 - **安全性**:`PreparedStatement`通过占位符防止SQL注入,而`Statement`则容易受到这类攻击。 - **...
PreparedStatementStatement效率的测试比较
qq_29606255的博客
09-02 1839
1:创建时的区别: Statement statement = conn.createStatement(); PreparedStatement preStatement = conn.prepareStatement(sql); 执行的时候: ResultSet rSet = statement.executeQuery(sql);
利用jdbc操作数据库——prepareStatementStatement的比较以及利用batch模式提高效率的心得
C_envelope的博客
10-09 1280
1.prepareStatement   vs  statement (1)prepareStatement预编译SQL语句,批处理效率高 什么是预编译,好处?(参考https://blog.youkuaiyun.com/Marvel__Dead/article/details/69486947) 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可...
用预查询(JDBC里的preparedstatement)为什么比直接用字符串拼SQL效率高
g2kajun的博客
06-11 588
用预查询(JDBC里的preparedstatement)为什么比直接用字符串拼SQL效率高 用JDBC里的preparedstatement的好处 1、相对比较安全,可以防止sql注入 举个例子,假如我们在做用户的登录认证,里面有两个字段username,passwword,我们如果用字符串拼接,我们一般这么写:“select id from users where username = '”+username +"’ and password = ‘" + password +"’" 这里的us
JDBCPreparedStatement详解及应用场景介绍
weixin_62079735的博客
03-20 8142
在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
PreparedStatementStatement关系和区别的简单概述
sss111166的博客
06-23 1837
PreparedStatementStatement关系和区别的简单概述
PreparedStatement的基本介绍与使用
薯条和番茄酱的博客
10-25 3688
1.PreparedStatement执行SQL语句中的参数用?表示,调用PreparedStatement对象的setXxx()方法设置这些参数。setXxx()有两个参数,第一个参数是要设置SQL语句中的参数的索引从1开始,第二个是设置的SQL语句中的参数的值例如:2.调用,返回ResultSet对象3.调用,执行更新,包括增删改查。
PreparedStatement预编译原理及基础使用
qq_71443736的博客
12-01 2262
JDBC 中的一个接口,用于执行预编译的 SQL 语句。与普通的Statement不同,的 SQL 语句在执行之前已经经过编译,因此更高效且安全,同时可以防止 SQL 注入攻击。通常用于执行多次相似的 SQL 查询或更新,只需编译一次,多次执行。对象所代表的 SQL 语句中的参数用问号来表示,调用对象的setXxx()方法来设置这些参数.setXxx()方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。
java中JDBC当中PreparedStatementStatement的效率比较
mark_to_win的专栏
04-19 1549
2.PreparedStatementStatement的效率比较马克-to-win:前面介绍的Statement接口提供了执行sql语句和获取结果的基本方法。注 意对于有种情况,即,需要反复执行相同的sql语句时,Sun公司就为我们提供了另外一种对象:PreparedStatement。它翻译过来就是: “准备好的Statement”。用它的好处就是:当数据库见到PreparedStateme...
16.PreparedStatementStatement区别?
04-04
<think>嗯,用户问的是PreparedStatementStatement的区别,这个问题在数据库编程里挺常见的。首先得理清楚它们的基本概念,然后分点说明区别。可能用户正在学习JDBC或者数据库操作,想了解为什么推荐使用PreparedStatement。 首先,Statement是Java里执行SQL语句的基本接口,而PreparedStatement是它的子接口,增加了预编译和参数化查询的功能。需要强调预编译的好处,比如性能提升,因为SQL语句被数据库预编译后,多次执行时不需要重新解析和优化,尤其是处理批量操作的时候。 然后,SQL注入的问题。Statement拼接SQL字符串容易导致注入攻击,比如用户输入里如果有恶意代码,可能会被当作SQL的一部分执行。而PreparedStatement使用参数化查询,用户输入作为参数传递,不会被解析为SQL代码,这样更安全。需要举个例子说明,比如登录验证时的SQL语句。 接下来是可读性和维护性。PreparedStatement用占位符代替字符串拼接,代码更清晰,尤其是当SQL语句很长或者参数很多的时候。比如插入操作,用问号作为占位符,然后按位置设置参数,比在字符串里拼变量更不容易出错。 还有数据类型处理,PreparedStatement自动处理Java对象和SQL数据类型之间的转换,比如Date、Time这些,而Statement需要手动转成字符串,可能出错或者格式不对。 性能方面,除了预编译,还要提到数据库缓存执行计划的情况。同一个PreparedStatement多次执行时,数据库可能会重用之前的执行计划,减少开销。而Statement每次执行都要重新解析,即使SQL语句结构相同,只是参数不同。 可能用户还不太清楚预编译的具体过程,或者参数化查询如何防止注入,需要简单解释一下。比如,预编译时SQL结构已经固定,参数值是在编译后传入,不会被当作语法部分处理。 另外,使用场景的区别。Statement可能适用于静态SQL,比如DDL语句,而PreparedStatement适合动态参数多的DML操作。不过现在一般推荐总是用PreparedStatement,除非有特别原因不用。 最后,是否需要提到CallableStatement?可能暂时不用,用户的问题集中在PreparedStatementStatement的区别,不需要扩展其他接口。 总结的话,应该分点列出主要区别,包括预编译、性能、安全性、可读性、数据类型处理等方面,每个点简要说明。确保用户理解为什么在实际开发中更推荐使用PreparedStatement。</think>PreparedStatementStatement 是 Java JDBC 中用于执行 SQL 的接口,核心区别如下: --- ### 1. **预编译机制** - **PreparedStatement** SQL 语句会被**预编译**并存储在数据库中,后续只需传递参数值。 示例: ```java String sql = "SELECT * FROM users WHERE age > ?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setInt(1, 18); // 参数下标从 1 开始 ``` 数据库会缓存编译后的执行计划,重复执行时效率更高。 - **Statement** 每次执行 SQL 都需要重新编译,效率较低: ```java Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM users WHERE age > 18"); ``` --- ### 2. **SQL 注入防护** - **PreparedStatement** 通过**参数化查询**(`?` 占位符)天然防御 SQL 注入: ```java // 用户输入 name = "admin' OR '1'='1" String sql = "SELECT * FROM users WHERE name = ?"; pstmt.setString(1, name); // 输入会被转义为普通字符串,不会破坏 SQL 结构 ``` - **Statement** 直接拼接字符串存在注入风险: ```java String sql = "SELECT * FROM users WHERE name = '" + name + "'"; // 实际执行:SELECT ... WHERE name = 'admin' OR '1'='1'(返回所有数据) ``` --- ### 3. **性能对比** - **PreparedStatement** - 适合批量操作(如插入 1000 条数据): ```java for (int i = 0; i < 1000; i++) { pstmt.setString(1, "user" + i); pstmt.addBatch(); // 添加到批处理 } pstmt.executeBatch(); // 一次提交 ``` - 数据库可复用预编译的 SQL 模板。 - **Statement** 每次执行需重新解析 SQL,批量操作效率低。 --- ### 4. **数据类型处理** - **PreparedStatement** 自动处理数据类型转换(如 `setDate()`, `setBlob()`): ```java pstmt.setDate(1, new java.sql.Date(System.currentTimeMillis())); ``` - **Statement** 需手动拼接复杂类型(如日期、二进制数据),易出错: ```java String date = "2023-10-01"; String sql = "INSERT INTO logs VALUES ('" + date + "')"; // 依赖字符串格式 ``` --- ### 5. **可读性与维护性** - **PreparedStatement** 使用占位符 `?` 使 SQL 结构清晰,易于维护: ```sql UPDATE products SET price = ? WHERE id = ? ``` - **Statement** 长 SQL 拼接易混乱: ```java String sql = "UPDATE products SET price=" + price + " WHERE id=" + id; ``` --- ### 总结对比表 | 特性 | PreparedStatement | Statement | |---------------------|----------------------------------|------------------------| | **预编译** | ✔️ 支持 | ❌ 不支持 | | **防 SQL 注入** | ✔️ 天然防护 | ❌ 需手动处理 | | **性能** | ✔️ 高(尤其批量操作) | ❌ 低 | | **数据类型处理** | ✔️ 自动转换 | ❌ 手动拼接 | | **适用场景** | 动态参数查询、批量操作 | 静态 SQL(如 DDL 语句) | --- **实际开发建议**:优先使用 PreparedStatement,安全性更高且性能更优。仅在对 SQL 动态性要求极高(如动态表名)时,才考虑 Statement
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值