Statement 与 PreparedStatement 的区别
Statement 是在执行时才传递SQL命令,这样的好处是
一个Statement对象可以执行不同的SQL命令。缺点是 不能
动态绑定参数。
PreparedStatement 是“预编译”的Statement,是Statement的扩展,
它是在创建时就指定好SQL命令,这样的好处是 一开始就可以把
SQL命令送到数据库端做预编译,并且可以动态绑定参数。
注:有关Statement和PreparedStatement的效率问题,没有绝对
Statement 是在执行时才传递SQL命令,这样的好处是
一个Statement对象可以执行不同的SQL命令。缺点是 不能
动态绑定参数。
PreparedStatement 是“预编译”的Statement,是Statement的扩展,
它是在创建时就指定好SQL命令,这样的好处是 一开始就可以把
SQL命令送到数据库端做预编译,并且可以动态绑定参数。
所以,它最适合执行同构的SQL命令。
的谁优谁劣。
使用PreparedStatement 还可以预防 SQL注入 技术,
这样可以有效地减少非法攻击。