statement和preparedstatement区别浅析
?
1,public interfaceStatement
???????? 用于执行静态 SQL语句并返回它所生成结果的对象。
?
?? public interfacePreparedStatement extends Statement
?
???????? 表示预编译的 SQL 语句的对象。
???????? SQL 语句被预编译并且存储在 PreparedStatement对象中。
???????? 然后可以使用此对象高效地多次执行该语句。
?
2,代码可读性
stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4)values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");//preparedstatement支持参数设置perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");perstmt.setString(1,var1);perstmt.setString(2,var2);perstmt.setString(3,var3);perstmt.setString(4,var4);perstmt.executeUpdate();??
3, 极大地提高了安全性----防止SQL注入
String sql = "select * from tb_name "
+"where name= '"+varname+"' andpasswd='"+varpasswd+"'";
如果我们把[' or '1' = '1]作为varpasswd传入进来.看看会成为什么?
select * from tb_name = '随意' andpasswd = '' or '1' = '1';
因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者:
把[';drop table tb_name;]作为varpasswd传入进来,则:
select * from tb_name = '随意' and passwd = '';drop tabletb_name;
有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.