【前言】

   小编在敲drp项目的时候，偶遇了prepareStatement和Statement这两对象，看着就觉得这两个对象关系匪浅，的确prepareStatement继承了Statement，所以prepareStatement在Statement的基础肯定扩展了她的方法，而且很具有优势，下面小编就简单的讲讲我对这两个对象的看法：

【内容】

1. prepareStatement和Statement的区别：

 

安全性

效率

开销

可读性

维护性

prepareStatement

高

高，预编译

大

好

容易

Statement

容易发生sql注入

低，每一次编译

小

差

不容易

2.prepareStatement和Statement的基本语法：

//Statement的语法 String updateString = "UPDATE User SET SALES = 75 " + "WHERE User_Name LIKE ′cyl′"; stmt.executeUpdate(updateString); //prepareStatement的语法 PreparedStatement updateUser = con.prepareStatement("UPDATE User SET SALES = ? WHERE User_Name LIKE ? "); updateUser.setInt(1, 75); updateUser .setString(2, "Colombian"); updateUser .executeUpdate();

3.prepareStatement和Statement的使用情况

@一般情况参数固定，需要多次执行删除或者查询语句的时候，使用prepareStatement会比Statement好很多

 prepareStatement： 

/** * 删除单个用户 * @param userId */ public void delUser(String userId){ String sqldelString="delete from t_user where user_id=?"; Connection connection=null; PreparedStatement psmt=null; try { connection=DbUtil.getConnection(); psmt=connection.prepareStatement(sqldelString); psmt.setString(1, userId); //设置参数 psmt.executeUpdate(); } catch (Exception e) { e.printStackTrace(); }finally{ DbUtil.close(psmt); DbUtil.close(connection); } }

Statement：

/** * 删除单个用户 * @param userId */ public void delUser(String userId){ String sqldelString="delete from t_user where user_id"+userId; //直接将参数放入sql语句中 Connection connection=null; java.sql.Statement stmt=null; try { connection=DbUtil.getConnection(); stmt=connection.createStatement(); stmt.executeUpdate(sqldelString); } catch (Exception e) { e.printStackTrace(); }finally{ DbUtil.close(stmt); DbUtil.close(connection); } }

单从代码量来看，Statement的确比prepareStatement的少两行，因为有sql参数的设置。但是从可读性和维护性上，prepareStatement的sql的语句类型一旦确定，就不需要过多的修改，参数与sql语句分离，提高维护性。从安全性的角度来说，如果用Statement进行select查询很容易会产生sql注入，把["or '1'='1"]数据传进来，所有的未或注册的用户可以随意访问，很容易泄露。

所以得出的结论是在一般情况下，我们都尽量使用prepareStatement而不是Statement。

-----------------------------------------------------------------------------

@特殊情况在参数的个数不确定的情况下，使用PrepareStatement和Statement没有什么区别。因为执行的sql语句都会被重新的编译，使用stringbuilder也可以防止sql注入，代码如下：

PrepareStatement：

/** * 批量删除 * 采用提交一次完成删除 * 采用preparedstatement占位符的方式 * delete from t_user where user_id in(？，？，？); * @param userIds */ public void delUser(String[] userIds) { StringBuilder sBuilder=new StringBuilder(); for (int i = 0; i < userIds.length; i++) { //使用stringbuilder加载占位符。 sBuilder.append("?"); if (i<(userIds.length-1)) { sBuilder.append(","); } } String sqlString="delete from t_user where user_id in ("+sBuilder.toString()+")"; System.out.println(sqlString); Connection connection=null; PreparedStatement stmt=null; try { connection=DbUtil.getConnection(); stmt=connection.prepareStatement(sqlString); //射进来的参数-stringbuiler for (int i = 0; i < userIds.length; i++) { stmt.setString(i+1, userIds[i]); } stmt.executeUpdate(); } catch (Exception e) { e.printStackTrace(); }finally{ DbUtil.close(stmt); DbUtil.close(connection); } } Statement：

//{{ void delUser(String[] userIds)+常银玲 /** * 批量删除 * 采用提交一次完成删除——事务-cyl * 采用statement拼串方式 * delete from t_user where user_id in(); * @param userIds */ public void delUser(String[] userIds) { StringBuilder sBuilder=new StringBuilder(); for (int i = 0; i < userIds.length; i++) { //使用stringbuilder加载参数 sBuilder.append("'") .append(userIds[i]) .append("'") .append(","); } String sqlString="delete from t_user where user_id in ("+sBuilder.substring(0,sBuilder.length()-1)+")"; System.out.println(sqlString); Connection connection=null; java.sql.Statement stmt=null; // ResultSet rSet=null; try { connection=DbUtil.getConnection(); stmt=connection.createStatement(); stmt.executeUpdate(sqlString); } catch (Exception e) { e.printStackTrace(); }finally{ //DbUtil.close(rSet); DbUtil.close(stmt); DbUtil.close(connection); } } //}}

【总结】

          其实使用prepareStatement已经成为我们的首选，必定它有着比Statement更多的优势，而且prepareStatement更加体现我们面向对象的一种思想，将sql语句与参数分离，参数的类型已经参数值不会对既定的sql语句产生很大的影响，而且最重要的就它可以进行预编译，对我们程序的性能会有很大的改善，而且可以防止sql注入，提高我们程序的安全性。希望这篇博文让你对prepareStatement有了一些了解，如果有什么偏差，希望可以在谅解的同时提出您的想法！