题目:下面有关jdbc statement的说法错误的是?
A. JDBC提供了Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程
B. 对于PreparedStatement来说,数据库可以使用已经编译过及定义好的执行计划,由于 PreparedStatement 对象已预编译过,所以其执行速度要快于 Statement 对象”
C. PreparedStatement中,“?” 叫做占位符,一个占位符可以有一个或者多个值
D.PreparedStatement可以阻止常见的SQL注入式攻击
选项 A 肯定是没有问题的,这个了解过 JDBC 的应该都知道。
选项 B PreparedStatement 会进行预编译,所以其执行速度要比 Statement 要快一些。
选项 C PreparedStatement "?"占位符只能有一个值,而且 JDBC 默认从 1 开始,所以这个选项是错误的。
选项 D PreparedStatement 会对占位符的内容进行检查,所以可以防止 SQL 注入攻击。
补充知识:
执行对象是SQL的执行者,SQL是“安排好的任务”,执行对象就是“实际工作的人”。
执行对象有三种:
Statement、PreparedStatement和CallableStatement,他们都是接口(interface)
Statement 继承自 Wrapper
PreparedStatement 继承自 Statement
CallableStatement 继承自 PreparedStatement
- Statement: 普通的不带参的查询SQL;支持批量更新,批量删除;
- PreparedStatement:可变参数的SQL,编译一次,执行多次,效率高;安全性好,有效防止Sql注入等问题;支持批量更新,批量删除;
- CallableStatement:继承自PreparedStatement,支持带参数的SQL操作; 支持调用存储过程,提供了对输出和输入/输出参数(INOUT)的支持;
参考博客:https://www.cnblogs.com/noteless/p/10307273.html
