Statement
1.创建方法
Statement statement = conn.createStatement();
2.执行方法
// 执行查询操作 -> select String sql = "select `name` from users where `id`=1";// 示例 statement.executeQuery(sql); // 执行更新操作 -> insert、update、delete... String sql = "delete from users where `id`=1";// 示例 statement.executeUpdate(sql); // 执行任意数据库操作,不易封装,所以基本不使用。 String sql = "drop table users";// 示例 statement.execute(sql);
3.返回结果
// 返回 ResultSet,调用其 next() 方法取出执行结果。 ResultSet resultSet = statement.executeQuery(sql); while (resultSet.next()) { dosomething... } // 返回 SQL 数据操作语言 (DML) 语句的行数或 0。 int result = statement.executeUpdate(sql);
4.关闭连接
statement.close();
PreparedStatement
1.创建方法
String sql = "select `name` from users where `id`=?";// 示例 // 需要预编译的 SQL,使用 ? 占位。 PreparedStatement preparedstatement = conn.prepareStatement(sql);
2.传入参数
// 按照预编译 SQL 中 ? 的顺序和类型传入,parameterIndex从 1 开始。 preparedstatement.setInt(int parameterIndex, int x); preparedstatement.setString(int parameterIndex, String x); ...
3.执行方法
// 因为上一步已经传入参数,所以执行不需要传参。 // 执行查询操作 -> select preparedstatement.executeQuery(); // 执行更新操作 -> insert、update、delete... preparedstatement.executeUpdate(); // 执行任意数据库操作,不易封装,所以基本不使用。 preparedstatement.execute();
4.返回结果
// 返回 ResultSet,调用其 next() 方法取出执行结果。 ResultSet resultSet = preparedstatement.executeQuery(); while (resultSet.next()) { dosomething... } // 返回 SQL 数据操作语言 (DML) 语句的行数或 0。 int result = preparedstatement.executeUpdate();
5.关闭连接
preparedstatement.close();
异同点
总结
PreparedStatement 可以有效防止 SQL 注入,你应该始终以 PreparedStatement 代替 Statement,也就是说,在任何时候都不要使用 Statement。
