Statements & PreparedStatement & sql注入 & batch批处理
Statement是PreparedStatement的父接口,不进行预编译操作。
PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串在执行SQL了.
PreparedStatement能防止sql注入、Statements不能的原因:它们实现机制不同
Statement是程序中的sql和外部传入的数据拼接成一个完整的sql语句,然后发给数据库执行
PreparedStatement是把程序中的sql语句进行预编译,然后在执行过程中,外部传入的值只是作为数据进行处理,不会再对sql语句进行解析,因此避免了sql注入问题.
批处理:
1,多个sql语句一起执行
String insertSql = "insert into tbl1 (id, name) values (?, ?)";pstmt = connection.prepareStatement(insertSql );pstmt.setLong(1, id);pstmt.setLong(2, name);pstmt.addBatch();pstmt.setLong(1, id1);pstmt.setLong(2, name1);pstmt.addBatch();pstmt.setLong(1, id2);pstmt.setLong(2, name2);pstmt.addBatch();// 最后使用executeBatch一把提交id,name ; id1,name1; id2,name2的数据pstmt.executeBatch();
