                        课程
                    
                        /后端开发
                        
                            /Java
                        
                        /JDBC之 “ 对岸的女孩看过来”

关于JAVA下的SQL语句

什么情况下需要用预编译的SQL语句，preparsStatement(sql);

什么情况下用createStatement()语句?

01:47

九天哟

2016-09-10

源自：JDBC之 “ 对岸的女孩看过来” 2-4

关注问题我要回答

947

操作

收起

2 回答

慕粉3750485 回答被采纳 +3 积分
2016-09-10

两种都可以，只不过一般都使用预编译sql，可以提高访问数据库的效率，其次提高代码的可读性和可维护性。

0 回复有任何疑惑可以回复我~

收起回答

九天哟提问者

非常感谢！

2016-09-11 回复有任何疑惑可以回复我~

qq_春无力_03346826
2016-09-28

什么都不要想，需要用就直接preparedstatement，1安全有效防止SQL恶意语句 2效率高 3代码整洁可读性 4可维护性

举个例子"SELECT * FROM users WHERE name = 'dsadsfsfwe' OR '1'='1' and pw = 'd1s2qw1as2d' OR '1'='1';" 因为1=1，所以这个SQL语句恒为可执行，所以你用户名密码不写也能登陆网站，这叫SQL恶意攻击，要是黑客良心更不好，直接"SELECT * FROM users WHERE name = 'any_value' and pw = ''; DROP TABLE users"。那恭喜你，你的users表就会被人删了。

0 回复有任何疑惑可以回复我~

收起回答

九天哟提问者

好的好的谢谢啦，现在在用QueryRunner

2016-09-28 回复有任何疑惑可以回复我~