為什么要始終使用PreparedStatement代替Statement?
一.代碼的可讀性和可維護性.
采用Statement方式,看似很直觀的字符串拼接sql語句,實際卻容易出錯而且難以維護。而采用PreparedStatement方式,通過?占位,可以清晰理解sql結構,無論從可讀性還是可維護性上來說.都比直接用Statement的代碼更值得推崇。
二.PreparedStatement盡最大可能提高性能.
每一種數據庫都會盡最大努力對預編譯語句提供最大的性能優化.因為預編譯語句有可能被重復調用.所以語句在被DB的編譯器編譯后的執行代碼被緩存下來,那么下次調用時只要是相同的預編譯語句就不需要編譯,只要將參數直接傳入編譯過的語句執行代碼中(相當于一個涵數)就會得到執行.這并不是說只有一個Connection中多次執行的預編譯語句被緩存,而是對于整個DB中,只要預編譯的語句語法和緩存中匹配.那么在任何時候就可以不需要再次編譯而可以直接執行.而statement的語句中,即使是相同一操作,而由于每次操作的數據不同所以使整個語句相匹配的機會極小,幾乎不太可能匹配.比如:
insert into a_table(col1,col2) values ('aa','bb');
insert into a_table(col1,col2) values ('aa','bb');
即使是相同操作但因為數據內容不一樣,所以整個個語句本身不能匹配,沒有緩存語句的意義.事實是沒有數據庫會對普通語句編譯后的執行代碼緩存.
當然并不是所以預編譯語句都一定會被緩存,數據庫本身會用一種策略,比如使用頻度等因素來決定什么時候不再緩存已有的預編譯結果.以保存有更多的空間存儲新的預編譯語句.
三.防止SQL注入
如果我們有如下sql語句對用戶進行驗證:
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
那么當把[' or '1' = '1]作為varpasswd傳入進來.用戶名隨意,看看會成為什么?
select * from tb_name = 'any_value' and passwd = '' or '1' = '1';
因為'1'='1'肯定成立,所以可以任何通過驗證.更有甚者:把[';drop table tb_name;]作為varpasswd傳入進來,則:
select * from tb_name = 'any_value' and passwd = '';drop table tb_name;
有些數據庫是不會讓你成功的,但也有很多數據庫就可以使這些語句得到執行.
而如果我們使用預編譯語句.那么傳入的任何內容就不會和原來的語句發生任何匹配的關系.只要全使用預編譯語句,就用不著對傳入的數據做任何過慮.而如果使用普通的statement,有可能要對drop,or等等sql關鍵字、各種轉義字符;等做費盡心機的判斷和過慮.