一、引言
之前使用的那个小太监是Statement,但是也可以用PreparedStatement,这两个的作用其实都是一样的,都是把sql命令发送给数据库管理系统,让它来执行命令。但是这两个也有区别:
在上图中要注意,有一个错误,在第三小行,前面的类应该是PreparedStatement,但是后面的方法是prepareStatement,没有那个d。
两者区别:
1、两者创建方式不同,是通过connection的不同方法创建的。
2、Statement创建的时候不需要传参,而PreparedStatement需要一个参数。
3、PreparedStatement是一种预编译的处理方式,反正好处很大。
二、PreparedStatement
示例代码:
package cn.kgc.dao;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
// 使用PreparedStatement
public class NewsDao2 {
// 查询特定的新闻id、标题
public void getNewsByTitle(String title){
Connection connection = null;
PreparedStatement pstmt = null;
ResultSet rs = null;
try {
// 加载驱动
// 这行代码的意思是根据括号里面的字符串找到相应的类
// 然后把这个类加载到java虚拟机里面
// 然后把这个类实例化
// 等同于 Driver driver= new Driver();
// 两种写法不同之处在于之前的写法是先加载
// 而这种写法事先并不知道要加载什么,是后加载
Class.forName("com.mysql.jdbc.Driver");
// 第一、铺路
// jdbc:mysql代表我的jdbc要连接mysql数据库
// 127.0.0.1:3306代表本机的3306端口服务,也可以将127.0.0.1改为localhost
// kgcnews代表的是我要访问的数据库
String url = "jdbc:mysql://127.0.0.1:3306/kgcnews";
connection = DriverManager.getConnection(url, "root", "41312019");
// 第二、下圣旨
// 此时要写sql语句的时候可以先在SQLYog里面写一下,然后确定没错了再复制过来
// 拼字符串容易出错,可用性差,拼起来太费经
// ?是占位符,也就是说我之前并不知道等于什么,先占个位置
String sql = "SELECT id, title FROM news_detail where title=?";
System.out.println(sql);
// 第三、找一个小太监帮皇上执行圣旨(Statement/PreparedStatement)
// 这个地方要注意有sql语句,后面执行那一步的参数就不用要了
pstmt = connection.prepareStatement(sql); // 小太监
// 此时sql语句里面仍然存在占位符,要处理一下占位符才能执行
// 这个地方采用的set方法后面跟的类型,跟你占位符的类型要相同
// 在sql语句的第一个位置填充title
pstmt.setString(1, title);
// 第四、拉回西瓜(返回结果集ResultSet)
rs = pstmt.executeQuery();
while(rs.next()){
// 这种方式写也可以,但是不建议
/*int id = rs.getInt(1);
String title = rs.getString(2);*/
int id = rs.getInt("id");
String newsTitle = rs.getString("title");
System.out.println(id + " " + newsTitle);
}
} catch (ClassNotFoundException e) {
e.printStackTrace();
} catch (SQLException e) {
e.printStackTrace();
} finally {
// 第五、释放资源
// 后用先关
try {
rs.close();
pstmt.close();
connection.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
public static void main(String[] args) {
NewsDao2 dao = new NewsDao2();
dao.getNewsByTitle("Java Web开课啦");
}
}
分析:
1、使用Statement的时候需要拼sql语句,存在种种缺点:容易出错,容易被别人通过拼字符串的方式获得信息(sql注入)等等。所以合格地方采用了占位符的方法:String sql = "SELECT id, title FROM news_detail where title=?";,可以防止sql注入。
2、使用PreparedStatement的方式来创建的时候需要传入参数,而后面执行的时候不需要参数,否则会包报异常。
3、在创建之后需要处理sql语句里面的占位符,具体代码:pstmt.setString(1, title);,这个代码里面set后面的类型跟占位符所在位置的数据类型相同;1代表第一个占位符,title是变量,代表在这个占位符填充的内容。
4、PreparedStatement使用预编译的方式。在使用Statement的时候,它是将sql语句发送给数据库管理系统(DBMS),数据库管理系统接收到这个sql语句之后,首先把这个sql语句进行检查、编译,然后再执行。但是PreparedStatement是先把sql语句进行检查、编译完毕了再发给数据库管理系统去执行,效率更高一点。
