jdbc中statement和preparestatement区别

在 JDBC 中，Statement 和 PreparedStatement 都是用于执行 SQL 语句的接口，但它们之间有以下的区别：

1. PreparedStatement 预编译： PreparedStatement 对象在执行 SQL 语句之前会进行预编译，这样可以提高 SQL 语句的执行效率。而 Statement 对象则不会进行预编译，每次执行 SQL 语句时都会解析一次 SQL 语句，效率较低。

2. PreparedStatement 防止 SQL 注入攻击： PreparedStatement 对象可以使用占位符（?）来组合 SQL 语句，这样可以防止 SQL 注入攻击。而 Statement 对象则没有这样的功能。

3. PreparedStatement 可读性： PreparedStatement 对象的 SQL 语句可读性较差，因为 SQL 语句中的变量都是使用占位符表示的。而 Statement 对象的 SQL 语句可读性较高，因为 SQL 语句中的变量都是直接拼接在 SQL 语句中的。

总的来说，PreparedStatement 对象比 Statement 对象更加灵活、安全且高效。因此，在实际的开发中，我们通常会优先使用 PreparedStatement 对象来执行 SQL 语句。

相关问题

jdbc 使用preparestatement 模糊查询里的sql语句怎么写

您好，对于使用 `PrepareStatement` 进行模糊查询，可以使用 `LIKE` 关键字，并在查询参数中使用 `%` 通配符。

例如，假设您要查询名字中包含字母 `abc` 的用户，可以这样编写 SQL 语句：

SELECT * FROM users WHERE name LIKE ?

然后，在设置参数时，使用 `%` 通配符拼接查询条件，例如：

String namePattern = "%abc%";
preparedStatement.setString(1, namePattern);

这样就可以执行模糊查询了。需要注意的是，`LIKE` 关键字通常会导致全表扫描，对性能有一定影响，所以在实际使用中要结合具体情况进行优化。

prepareStatement

prepareStatement 是 JDBC 中的一个接口，用于执行预编译 SQL 语句。相比于 Statement 接口，使用 prepareStatement 可以提高 SQL 执行的效率和安全性。

prepareStatement 的使用步骤如下：

1. 使用 Connection 接口的 prepareStatement 方法创建一个 PreparedStatement 对象。
2. 在创建 PreparedStatement 对象时，需要传入一个预编译的 SQL 语句。
3. 通过调用 PreparedStatement 对象的 setXXX 方法，设置 SQL 语句中的参数。
4. 调用 PreparedStatement 对象的 execute 方法执行 SQL 语句。
5. 处理执行结果，如获取查询结果集。

例如，执行一个带参数的查询 SQL 语句可以如下所示：

String sql = "select * from users where name = ? and age > ?";
PreparedStatement pstmt = conn.prepareStatement(sql);
pstmt.setString(1, "张三");
pstmt.setInt(2, 20);
ResultSet rs = pstmt.executeQuery();

在上面的示例中，使用 prepareStatement 创建了一个 PreparedStatement 对象，并传入了一个带有两个参数的查询 SQL 语句。通过调用 setXXX 方法设置参数，然后通过 executeQuery 方法执行 SQL 语句并获取查询结果集。