一、PreparedStatement 介面的使用 首先占位符我們可以使用 Statement 介面來操作數據, 但是這個介面存在兩個問題: 1、使用 Statement 介面對象發送的 sql 語句需要在資料庫中進行一次編譯之後成為指令才能執行,並且每條 sql 語句都需要編譯一次, 這樣效率是很 ...
一、PreparedStatement 介面的使用
首先占位符我們可以使用 Statement 介面來操作數據, 但是這個介面存在兩個問題:
1、使用 Statement 介面對象發送的 sql 語句需要在資料庫中進行一次編譯之後成為指令才能執行,
並且每條 sql 語句都需要編譯一次, 這樣效率是很慢的。
2、使用 Statement 介面操作的 sql 可以使用字元串拼接的方式實現, 這樣的方式可能存在 sql 註入
的安全風險問題,並且拼接字元串比較麻煩。
解決以上兩個問題我們可以使用 PreparedStatement 介面來避免。 使用 PreparedStatement 介面
操作的 sql 語句會先預編譯成指令再發送給資料庫,資料庫
就執行指令即可,這樣提高 一定的速度,而且使用 PreparedStatement 介面可以避開 sql 需要要使用
字元串拼接的方式,從而使用占位符(?)來代替。這樣就解決了 sql 註入的安全風險。
