优点PreparedStatement:
SQL语句的预编译和DB端缓存可提高整体执行速度,并具有批量重用同一SQL语句的能力。
通过内置对引号和其他特殊字符的转义,自动防止SQL注入 攻击。请注意,这要求你使用任何
PreparedStatement setXxx()
方法来设置值
preparedStatement = connection.prepareStatement("INSERT INTO Person (name, email, birthdate, photo) VALUES (?, ?, ?, ?)");preparedStatement.setString(1, person.getName());preparedStatement.setString(2, person.getEmail());preparedStatement.setTimestamp(3, new Timestamp(person.getBirthdate().getTime()));preparedStatement.setBinaryStream(4, person.getPhoto());preparedStatement.executeUpdate();因此不要通过字符串连接来内联SQL字符串中的值。
preparedStatement = connection.prepareStatement("INSERT INTO Person (name, email) VALUES ('" + person.getName() + "', '" + person.getEmail() + "'");preparedStatement.executeUpdate();- 简化的SQL字符串非标准的Java对象的设置,例如Date,Time,Timestamp,BigDecimal,InputStream(Blob)和Reader(Clob)。在大多数类型中,你不能toString()像在简单类型中那样“仅仅”执行a Statement。你甚至可以将其全部重构为PreparedStatement#setObject()在循环内部使用,如下面的实用程序方法所示:
public static void setValues(PreparedStatement preparedStatement, Object... values) throws SQLException { for (int i = 0; i < values.length; i++) { preparedStatement.setObject(i + 1, values[i]); }}可以如下使用:
preparedStatement = connection.prepareStatement("INSERT INTO Person (name, email, birthdate, photo) VALUES (?, ?, ?, ?)");setValues(preparedStatement, person.getName(), person.getEmail(), new Timestamp(person.getBirthdate().getTime()), person.getPhoto());preparedStatement.executeUpdate();
