是的,对所有内容使用准备好的语句。
他们被解析一次。
他们不受SQL注入攻击的影响。
它们是一个更好的设计,因为您必须考虑您的SQL及其用法。
如果您认为它们只使用过一次,那么您就不会看大图了。有一天,您的数据或应用程序将更改。
编辑。
为什么准备好的语句会让您考虑一下SQL?
当您汇编一个字符串(或简单地执行文本的文字块)时,您并不是在创建一个新的
PreparedStatement
对象。您只是在执行SQL-可以很随意地完成。当您必须创建(并保存)a时
PreparedStatement
,您只需要考虑封装,责任分配等问题。语句的准备是进行任何SQL处理之前的有状态事件。
额外的工作很小,但并不微不足道。这就是促使人们开始考虑ORM和数据缓存层以及诸如此类的东西以优化其数据库访问的原因。
使用Prepared语句,数据库访问变得更轻松,更有意。
