JDBC 使用 PreparedStatement 代替 Statement
理由
- 预编译,防止
sql注入 - 缓存过,速度快。第一次慢,以后的快。
Statement 查询
Statement stmt = conn.createStatement();
ResultSet rs = stmt.executeQuery(sql);
PreparedStatement查询
PreparedStatement stmt = conn.prepareStatement(sql);
// 手动设置参数,有效防止 sql 注入
stmt.setString(1, "param");
ResultSet rs = stmt.executeQuery();
浙公网安备 33010602011771号