62,614
社区成员
发帖
与我相关
我的任务
分享请发表友善的回复…
发表回复
Nicholas 2011-02-22
- 打赏
- 举报
很好,很感谢
xiaxinhuo 2007-07-13
- 打赏
- 举报
恩 各有所长,具体问题具体对待.
moloon111 2007-07-12
- 打赏
- 举报
非常谢谢bao110908(bao)(bao)(讨厌蟑螂)你的帮助
baobao28 2007-07-12
- 打赏
- 举报
再补充一下,PreparedStatement 可以把所有对象都按照String类型赋值,避免了数据类型与格式的问题
KingNE 2007-07-12
- 打赏
- 举报
UP
PreparedStatement 相对于处理复杂的SQL
PreparedStatement 相对于处理复杂的SQL
动感超油 2007-07-12
- 打赏
- 举报
不错
北京朝五晚九 2007-07-12
- 打赏
- 举报
1楼说的好详细,补充以下 用PreparedStatement 开发速度也会相对快一些,另外建议使用PreparedStatement 预处理方法!
grass_12 2007-07-12
- 打赏
- 举报
楼上正解
火龙果被占用了 2007-07-12
- 打赏
- 举报
1. 执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象中,其后可以使用该对象高效地多次执行该语句。
2. 代码可读性:Statement 中 SQL 语句中需要 Java 中的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看;而 PreparedStatement,则不需要这样,参数可以采用“?”代替,接下来再进行参数的填充,这样利于代码的可读性,并且符合面向对象的思想。
3. 安全性:Statement 由于可能需要采取字符串与变量的拼接,很容易进行 SQL 注入攻击,而 PreparedStatement 由于是预编译,再填充参数的,不存在 SQL 注入问题。
2. 代码可读性:Statement 中 SQL 语句中需要 Java 中的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看;而 PreparedStatement,则不需要这样,参数可以采用“?”代替,接下来再进行参数的填充,这样利于代码的可读性,并且符合面向对象的思想。
3. 安全性:Statement 由于可能需要采取字符串与变量的拼接,很容易进行 SQL 注入攻击,而 PreparedStatement 由于是预编译,再填充参数的,不存在 SQL 注入问题。
