prepareStatement 用法 preparedstatement用法 in

一、PreparedStatement概述

    在数据库的操作过程中，PreparedStatement 对象是一个接口对象，它继承于Statement，并与之在两方面有所不同：

    1）PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的，该语句为每个 IN 参数保留一个问号（“？”）作为占位符。每个问号的值必须在该语句执行之前，通过适当的setXXX 方法来提供。  

String sql = "insert into t_user(user_id,user_name,password,contact_tel,email,create_date)"
	+ " values(?,?,?,?,?,?)";

  2）由于 PreparedStatement 对象已预编译过，所以其执行速度要快于 Statement 对象。因此，多次执行的 SQL 语句经常创建为 PreparedStatement 对象，以提高效率。

 

    作为 Statement的子类，PreparedStatement 继承了Statement 的所有功能。同时，三种方法 execute、 executeQuery 和 executeUpdate 已被更改以使之不再需要参数。这些方法的 Statement 形式（接受 SQL 语句参数的形式）不应该用于 PreparedStatement 对象。

二、具体使用：

    1.创建 PreparedStatement 对象

    2.传递IN参数

    3.IN参数中数据类型的一致性；

      程序员的责任是确保将每个 IN 参数的 Java 类型映射为与数据库所需的 JDBC 数据类型兼容的 JDBC 类型。

三、代码实现：

/**
	 * 添加用户
	 * 
	 * @param user
	 */
	public void addUser(User user) {
		//在sql语句中保留一个？作为占位符；
		String sql = "insert into t_user(user_id,user_name,password,contact_tel,email,create_date)"
				+ " values(?,?,?,?,?,?)";
		Connection conn = null;
		PreparedStatement pstmt = null;
		try {
			conn= DbUtil.getConnection();
			//1.创建 PreparedStatement 对象。
			pstmt = conn.prepareStatement(sql);
			//2.传递参数；
			pstmt.setString(1,user.getUserId());
			pstmt.setString(2,user.getUserName());
			pstmt.setString(3,user.getPassword());
			pstmt.setString(4,user.getContactTel());
			pstmt.setString(5,user.getEmail());
			pstmt.setTimestamp(6, new Timestamp(new Date(0).getTime()));
			//3.执行
			pstmt.executeUpdate();
			
		} catch (SQLException e) {
			e.printStackTrace();
		}finally{
			DbUtil.close(pstmt);
			DbUtil.close(conn);
		}
	}

四、PreparedStatement，Statement

1.代码的可读性和可维护性

statement.executeUpdate("insert into tb_name(col1,col2,col2,col4)values('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");

perstmt=con.prepareStatement("insert into tb_name(col1,col2,col2,col4)values(?,?,?,?)");
　　perstmt.setString(1,var1);
　　perstmt.setString(2,var2);
　　perstmt.setString(3,var3);
　　perstmt.setString(4,var4);
　　perstmt.executeUpdate();

2.PreparedStatement尽最大可能提高性能

String sql = "insert into t_user(user_id,user_name,password,contact_tel,email,create_date)"
	+ " values(?,?,?,?,?,?)";

    每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行。

3.极大提高安全性

PreparedStatement在此方面类似于参数化查询，更加安全，而statement类似拼接Sql语句，容易造成Sql注入；

五、总结

    通过一个这样的流程来认识PerparedStatment，印象也比较深刻，在开发中，应该常用PreparedStatement代替Statement；