JDBC中prepareStatement 与createStatement 区别

最新推荐文章于 2025-06-01 00:14:52 发布
最新推荐文章于 2025-06-01 00:14:52 发布
阅读量4.9k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Java 文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/gdp12315_gu/article/details/51853134
本文对比了使用预编译SQL(prepareStatement)和动态SQL(createStatement)的方法,详细解释了预编译SQL如何通过参数化查询提高数据库访问效率,并指出了其无法预编译表名等局限性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

简单来说,prepareStatement 提供预编译SQL语句,可以用"?" 来替换需要改变的参数值,类似于正则化 SQL查询语句。

createStatement则不提供预编译SQL,需要实时executeQuery(sqlStr) 来访问数据库。 因此,prepareStatement可以多次使用,提高访问数据库的效率。


具体可以参考:http://blog.youkuaiyun.com/jiangwei0910410003/article/details/26143977 


Code Fragment 1:

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERECOF_NAME LIKE ′Colombian′";  
  2. stmt.executeUpdate(updateString);  
Code Fragment 2:
[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. PreparedStatement updateSales = con.prepareStatement("UPDATE COFFEES SETSALES = ? WHERE COF_NAME LIKE ? ");  
  2. updateSales.setInt(175);  
  3. updateSales.setString(2"Colombian");  
  4. updateSales.executeUpdate();  


然而,prepareStatement 也有局限性,并不能修改类似表名。

[java]  view plain  copy
  在CODE上查看代码片 派生到我的代码片
  1. PreparedStatement updateSales = con.prepareStatement("SELECT * FROM ? WHERE COF_NAME LIKE ? ");  
  2. updateSales.setInt(1,"TableName");  
  3. updateSales.setString(2"Colombian");  
  4. ResultSet rs = updateSales.executeQuery();  
会报错,

SQL查询语句为“SELECT * FROM  ‘TableName’ WHERE COF_NAME LIKE ‘Colombian’  ”

javajdbc技术_详解Java连接数据库JDBC技术中的prepareStatement
weixin_30002151的博客
02-28 820
详解Java连接数据库JDBC技术中的prepareStatement发布时间:2020-07-18 09:14:24来源:亿速云阅读:107作者:小猪这篇文章主要是详解Java连接数据库JDBC技术中的prepareStatement,内容清晰明了,对此有兴趣的小伙伴可以学习一下,相信大家阅读完之后会有帮助。一、prepareStatement 的用法解释1.PreparedStatement...
利用jdbc操作数据库——prepareStatementStatement的比较以及利用batch模式提高效率的心得
C_envelope的博客
10-09 1281
1.prepareStatement   vs  statement (1)prepareStatement预编译SQL语句,批处理效率高 什么是预编译,好处?(参考https://blog.youkuaiyun.com/Marvel__Dead/article/details/69486947) 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可...
JDBCPrepareStatement
bulote
01-30 99
<wbr></wbr> public class Information {<wbr><wbr><wbr><wbr><wbr><wbr> String id="";<br><wbr><wbr&
java连接数据库的Connection中的prepareStatementcreateStatement区别
ilaveyou68的专栏
04-23 4480
这两者的区别主要在于如何构造执行sql语句的对象, 1,对于prepareStatement来说,其执行返回的是一个prepareStatement对象,而这个方法的描述是这样的,prepareStatement(String sql)创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。它需要一个参数,这个参数就是需要执行的sql语句。而createSt
148. PreparedStatement 使用
weixin_43484713的博客
06-01 1106
摘要:PreparedStatement是JDBC中预编译SQL语句的接口,相比Statement更安全高效。其核心优势包括防止SQL注入、性能优化(预编译重用)、类型安全代码可读性。基本使用流程为:创建连接→预编译SQL(带占位符?)→设置参数→执行查询。它还支持批处理操作,适用于高频重复查询。Statement相比,PreparedStatement通过参数化查询避免SQL注入,性能更高,但仅能代替值不能用于表/列名。开发中应优先使用PreparedStatement,尤其涉及用户输入时。
JDBCCreateStatement PrepareStatement区别
言诺liang
09-26 4143
在学习JDBC的时候碰到一个问题。获取向数据库发送sql语句的statement对象有两种类似的接口这两个接口没有本质上的区别。都是通过对象调用executeQuery方法来执行SQL语句。说是CreateStatementPrepareStatement区别,但其实说的就是StatementPrepareStatement区别。 第一点: conn.=JdbcUtils.get...
浅谈 JDBCCreateStatement PrepareStatement区别优劣。
热门推荐
雏鹰
09-12 5万+
微信搜索 程序员的起飞之路 可以加我公众号,保证一有干货就更新~ 本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatementPrepareStatement区别,但其实说的就是StatementPrepareStatement区别,相信大家在网上已经看到过不少这方面的资料博客,我在此处提几点,大家看到过的,就当重记忆,没看到就当补充~下面开始谈谈他.
浅谈 JDBCCreateStatement PrepareStatement区别优劣
machinecat0898的专栏
04-23 1785
本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatementPrepareStatement区别,但其实说的就是StatementPrepareStatement区别,相信大家在网上已经看到过不少这方面的资料博客,我在此处提几点,大家看到过的,就
JDBC连接(StatementPrepareStatement
一路向阳,春暖花开
04-06 2306
1.JDBC连接的连接步骤(StatementPrepareStatement) (1)注册驱动 (只做一次) (2)建立连接(Connection)  (3)创建执行SQL的语句(Statement) (4)执行语句 (5)处理执行结果(ResultSet) (6)释放资源 1.1注册驱动 (1)Class.forName(“com.mysql.jdbc.Drive
JDBC系列(五):JDBC利用PrepareStatement实现键盘输入信息的数据库增、删、改
北溟南风起
07-06 1648
JDBC系列(五):JDBC利用PrepareStatement实现键盘输入信息的数据库增、删、改 目录JDBC系列(五):JDBC利用PrepareStatement实现键盘输入信息的数据库增、删、改1. Statement在字符串拼接(变量使用)时显现弊端2. PrepareStatement提供良好字符串拼接(变量使用)方案3. 程序对比展示4. 程序功能介绍结果演示 1. Statement在字符串拼接(变量使用)时显现弊端 使用变量时(涉及拼接字符串):Statement表达比较麻烦,我们用Pr
JDBC中StatementPreparement的使用讲解
08-26
JDBC 中 Statement PrepareStatement 的使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本的 SQL 语句执行功能。PrepareStatement 是 Statement 的子接口,提供了预编译的功能,可以提高性能安全...
prepareStatementcreateStatement区别
weixin_39590058的博客
03-17 318
public void delete( int id){ try { Connection c = DBUtil.getConnection(); Statement s = c.createStatement(); String sql = "delete from category where id = "...
createStatement prepareStatement区别
笃行
09-10 3207
概念上: 1、prepareStatement会先初始SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率; 2、createStatement不会初始化,没有预处理; 变量上: prepareStatement 可以在SQL中用 ?替换变量,可以保证SQL安全问题,防止SQL注入; createStatement 只能在SQL中拼接参数,容易造成SQL注入; 功能上: 如果想要删除多条数据,对于createStatement 需要写多条SQL语句; 而prepareStatement 通过s
PreparedStatementcreateStaement的区别
kkxxzx的博客
11-25 933
PreparedStatementcreateStatement区别 statement由方法createStatement()创建,该对象用于发送简单的SQL语句 //通过Connection的接口创建Statement对象 statement = conn.createStatement(); //编写sql语句
java多线程累加计数
安迪爸爸
03-21 3万+
java多线程计数 题目 给定count=0;让5个线程并发累加到1000; 思路 创建一个类MyRunnable,实现Runnable(继承Thread类也可) 定义一个公共变量count(初始值为0),5个线程都可以访问到; 创建5个线程并发递增count到1000; 方法 方法一 将count公共变量放到测试类Test的类成员变量里,将MyRunnable类作为Te...
PreparedStatement
猪之仆的博客
11-16 179
PreparedStatement批量处理事务代码_hwsdau的专栏-优快云博客_preparedstatement批量处理 使用PreparedStatement实现批量插入数据的操作 - 简书
【创建 PreparedStatement】JAVA连接SQL_2008,通过JDBC_ODBC连接
CodingMan
04-11 840
JAVA连接SQL_2008,通过JDBC_ODBC连接 可以创建:    Statement sm=ct.createStatement(); rs=sm.executeQuery("select * from hero"); 也可以创建:preparedStatement    【注意比较上面的区别】 //3、创建 PreparedStatement
createStatementprepareStatement区别
weixin_34342207的博客
08-10 394
2019独角兽企业重金招聘Python工程师标准>>> ...
jdbc中除了prepareStatement外还有什么其他执行sql的方式
最新发布
07-16
<think>我们正在讨论JDBC中执行SQL的方式,除了PreparedStatement之外,还有其他方式。根据引用[2][3],我们知道JDBC中主要有两种执行SQL的接口:StatementPreparedStatement。另外,还有一个CallableStatement用于执行存储过程。因此,我们可以这样回答: 用户询问的是除了PreparedStatement之外,JDBC中还有哪些执行SQL的方法。根据已有的引用JDBC知识,我们可以总结如下: 1. **Statement**:最基本的SQL执行接口,用于执行静态SQL语句。它没有预编译功能,每次执行都需要将SQL语句发送给数据库解析。因此,如果多次执行相同的SQL(只是参数不同),效率较低。另外,使用Statement需要注意SQL注入问题,因为它直接将参数拼接在SQL语句中。 示例代码: ```java Statement stmt = conn.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM table"); ``` 2. **PreparedStatement**:预编译的SQL执行接口,可以防止SQL注入,并且对于多次执行相同结构(仅参数不同)的SQL效率更高。它使用占位符(?)来表示参数,然后通过setXXX方法设置参数值。 示例代码: ```java PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM table WHERE id=?"); pstmt.setInt(1, 10); ResultSet rs = pstmt.executeQuery(); ``` 3. **CallableStatement**:用于执行数据库中的存储过程。它继承自PreparedStatement,除了支持输入参数外,还支持输出参数输入输出参数。 示例代码: ```java CallableStatement cstmt = conn.prepareCall("{call my_stored_procedure(?, ?)}"); cstmt.setInt(1, 10); // 设置输入参数 cstmt.registerOutParameter(2, Types.VARCHAR); // 注册输出参数 cstmt.execute(); String result = cstmt.getString(2); // 获取输出参数的值 ``` 另外,需要注意的是,StatementPreparedStatement都支持执行不同类型的SQL: - 对于查询(SELECT),使用`executeQuery`方法,返回ResultSet。 - 对于更新(INSERT, UPDATE, DELETE),使用`executeUpdate`方法,返回受影响的行数。 - 对于不确定是查询还是更新的语句,或者执行DDL(如CREATE TABLE),可以使用`execute`方法,然后通过`getResultSet`或`getUpdateCount`获取结果。 此外,从Java 7开始,这些接口都实现了AutoCloseable,因此可以使用try-with-resources自动关闭资源。 总结,除了PreparedStatement,还有StatementCallableStatement。它们的关系如下: - Statement:基本语句,无参数。 - PreparedStatement:预编译语句,支持输入参数。 - CallableStatement:用于存储过程,支持输入输出参数。 最后,生成相关问题: 1. StatementPreparedStatement的主要区别是什么? 2. 如何使用CallableStatement调用存储过程? 3. 在JDBC中如何防止SQL注入?</think>### JDBC 中执行 SQL 的三种主要方式 在 JDBC 中,除了 `PreparedStatement` 外,还有以下两种核心的 SQL 执行接口: #### 1. **Statement(基础执行器)** - **特点**:直接执行静态 SQL 语句,**不支持预编译参数化查询** - **适用场景**:执行一次性静态 SQL(如 DDL 语句) - **风险**:**存在 SQL 注入漏洞**(需手动拼接参数) - **示例代码**: ```java try (Statement stmt = connection.createStatement()) { String sql = "SELECT * FROM users WHERE name = '" + userName + "'"; // 手动拼接参数 ResultSet rs = stmt.executeQuery(sql); // 执行查询 while (rs.next()) { // 处理结果 } } ``` - **关键方法**: - `executeQuery(String sql)`:执行查询,返回 `ResultSet` - `executeUpdate(String sql)`:执行更新,返回影响行数 - `execute(String sql)`:通用执行方法 #### 2. **CallableStatement(存储过程执行器)** - **特点**:专用于调用数据库**存储过程**,支持输入/输出参数 - **继承关系**:`CallableStatement` → `PreparedStatement` → `Statement` - **参数处理**: - `?` 作为参数占位符 - `registerOutParameter()` 注册输出参数 - **示例代码**: ```java try (CallableStatement cstmt = connection.prepareCall("{call get_user_data(?, ?)}")) { cstmt.setString(1, userId); // 设置输入参数 cstmt.registerOutParameter(2, Types.INT); // 注册输出参数 cstmt.execute(); int result = cstmt.getInt(2); // 获取输出参数 } ``` #### 三种方式对比总结 | **特性** | `Statement` | `PreparedStatement` | `CallableStatement` | |------------------------|---------------------|--------------------------|---------------------------| | **预编译** | ❌ 不支持 | ✅ 支持 | ✅ 支持 | | **SQL 注入防护** | ❌ 高风险 | ✅ 自动转义参数 | ✅ 自动转义参数 | | **参数化支持** | ❌ 需手动拼接 | ✅ 通过 `setXxx()` 设置 | ✅ 支持输入/输出参数 | | **执行效率** | 低(每次解析 SQL) | 高(可复用预编译结果) | 高 | | **典型用途** | DDL 语句 | 动态参数查询/更新 | 调用存储过程 | > 最佳实践推荐:**优先使用 `PreparedStatement`**(安全高效),仅当调用存储过程时使用 `CallableStatement`,避免使用原生 `Statement`[^1][^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值