prepareStatement的用法和解釋

本文轉載自:http://www.cnblogs.com/0banana0/articles/2029863.html

1.PreparedStatement是預編譯的,對於批量處理能夠大大提升效率. 也叫JDBC存儲過程
2.使用 Statement 對象。在對數據庫只執行一次性存取的時侯，用 Statement 對象進行處理。PreparedStatement 對象的開銷比Statement大，對於一次性操做並不會帶來額外的好處。
3.statement每次執行sql語句，相關數據庫都要執行sql語句的編譯，preparedstatement是預編譯得, preparedstatement支持批處理
4.
Code Fragment 1:

String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′";
stmt.executeUpdate(updateString);

Code Fragment 2:

PreparedStatement updateSales = con.prepareStatement("UPDATE COFFEES SET SALES = ? WHERE COF_NAME LIKE ? ");
updateSales.setInt(1, 75);
updateSales.setString(2, "Colombian");
updateSales.executeUpdate();

片段2和片段1的區別在於，後者使用了PreparedStatement對象，而前者是普通的Statement對象。PreparedStatement對象不只包含了SQL語句，並且大多數狀況下這個語句已經被預編譯過，於是當其執行時，只需DBMS運行SQL語句，而沒必要先編譯。當你須要執行Statement對象屢次的時候，PreparedStatement對象將會大大下降運行時間，固然也加快了訪問數據庫的速度。
這種轉換也給你帶來很大的便利，沒必要重複SQL語句的句法，而只需更改其中變量的值，即可從新執行SQL語句。選擇PreparedStatement對象與否，在於相同句法的SQL語句是否執行了屢次，並且兩次之間的差異僅僅是變量的不一樣。若是僅僅執行了一次的話，它應該和普通的對象毫無差別，體現不出它預編譯的優越性。
5.執行許多SQL語句的JDBC程序產生大量的Statement和PreparedStatement對象。一般認爲PreparedStatement對象比Statement對象更有效,特別是若是帶有不一樣參數的同一SQL語句被屢次執行的時候。PreparedStatement對象容許數據庫預編譯SQL語句，這樣在隨後的運行中能夠節省時間並增長代碼的可讀性。

然而，在Oracle環境中，開發人員實際上有更大的靈活性。當使用Statement或PreparedStatement對象時，Oracle數據庫會緩存SQL語句以便之後使用。在一些狀況下,因爲驅動器自身須要額外的處理和在Java應用程序和Oracle服務器間增長的網絡活動，執行PreparedStatement對象實際上會花更長的時間。

然而，除了緩衝的問題以外，至少還有一個更好的緣由使咱們在企業應用程序中更喜歡使用PreparedStatement對象,那就是安全性。傳遞給PreparedStatement對象的參數能夠被強制進行類型轉換，使開發人員能夠確保在插入或查詢數據時與底層的數據庫格式匹配。

當處理公共Web站點上的用戶傳來的數據的時候，安全性的問題就變得極爲重要。傳遞給PreparedStatement的字符串參數會自動被驅動器忽略。最簡單的狀況下，這就意味着當你的程序試着將字符串「D'Angelo」插入到VARCHAR2中時，該語句將不會識別第一個「，」，從而致使悲慘的失敗。幾乎不多有必要建立你本身的字符串忽略代碼。

在Web環境中，有惡意的用戶會利用那些設計不完善的、不能正確處理字符串的應用程序。特別是在公共Web站點上,在沒有首先經過PreparedStatement對象處理的狀況下，全部的用戶輸入都不該該傳遞給SQL語句。此外，在用戶有機會修改SQL語句的地方，如HTML的隱藏區域或一個查詢字符串上，SQL語句都不該該被顯示出來。
在執行SQL命令時，咱們有二種選擇：可使用PreparedStatement對象，也可使用Statement對象。不管多少次地使用同一個SQL命令，PreparedStatement都只對它解析和編譯一次。當使用Statement對象時，每次執行一個SQL命令時，都會對它進行解析和編譯。   






第一：

prepareStatement會先初始化SQL，先把這個SQL提交到數據庫中進行預處理，屢次使用可提升效率。  
createStatement不會初始化，沒有預處理，沒次都是從0開始執行SQL

第二：

prepareStatement能夠替換變量  
在SQL語句中能夠包含?，能夠用ps=conn.prepareStatement("select * from Cust where ID=?");  
int sid=1001;  
ps.setInt(1, sid);  
rs = ps.executeQuery();  
能夠把?替換成變量。  
而Statement只能用  
int sid=1001;  
Statement stmt = conn.createStatement();  
ResultSet rs = stmt.executeQuery("select * from Cust where ID="+sid);  
來實現。

第三：

prepareStatement會先初始化SQL，先把這個SQL提交到數據庫中進行預處理，屢次使用可提升效率。  
createStatement不會初始化，沒有預處理，沒次都是從0開始執行SQL

---------------------（轉載)

要看更多評論請看這裏：http://topic.csdn.net/u/20080729/16/44bf6ce7-72de-45e1-bd79-426c934b373f.html