为什么用PreparedStatement而不是直接用"+"连接SQL语句

最开始我在程序里使用SQL访问数据库时，都是直接用“+”将字段值嵌到SQL中。

String sql = " select s.name from student s where s.id=' " + sId + " ' "；

后来我开始使用PreparedStatement，在SQL里使用“？”标记参数，然后用setXXX方法给参数赋值。当时只知道这样用是因为有setDate，setTimeStamp这些用“+”连接不能直接嵌入的值。

感觉PreparedStatement在性能方面应该也能快点，可能DBMS会重用，但不明底层原理。

这次《数据库实现》课程终于让我弄懂了：每个SQL语句都要通过语法分析 -> 生成逻辑查询计划 -> 逻辑优化 -> 物理优化 等步骤生成具体的执行计划，用PreparedStatement就可以生成一个执行计划，以后只是参数改变（相当于执行计划的执行环境改变），前面的四个步骤也会省略，从而提高了效率。

如果一个SQL语句要被反复多次执行，或多用户同时操作，则应选用PreparedStatement！

posted on 2006-11-01 20:18 罗明阅读(1765) 评论(19) 编辑收藏所属分类: Java 、ProgramTech 、Study 、Database

Comments

# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句?
GoKu
Posted @ 2006-11-12 10:34
用参数传递的方式更安全,代码也更易读懂,速度也稍有提升回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
罗明
Posted @ 2007-08-26 21:44
还有一个原因，可能就是楼上说的安全吧^_^，今天刚发现的-_-!

******************************************
评论人：liusoft 发表时间: Wed Dec 03 09:22:35 CST 2003
千万不要把参数值写在SQL语句中

如果你用 insert into table1 values(?,?,?);

然后调用PreparedStatement.setFloat(3,234234235.234);

就不会使得234234235.234变成2.34234235234E8字符串了
*******************************************
原评论见：http://www.javaresearch.org/article/10854.htm 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
传世私服
Posted @ 2008-05-31 22:31
1936 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
传奇世界私服
Posted @ 2008-05-31 22:32
1377 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽世界私服
Posted @ 2008-05-31 22:32
1497 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽世界私服
Posted @ 2008-05-31 22:32
6294 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽世界私服
Posted @ 2008-05-31 22:33
0183 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽世界私服
Posted @ 2008-05-31 22:33
2809 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽世界私服
Posted @ 2008-05-31 22:33
9272 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽世界私服
Posted @ 2008-05-31 22:33
6601 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽世界私服
Posted @ 2008-05-31 22:33
1074 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽私服
Posted @ 2008-05-31 22:33
6279 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽私服
Posted @ 2008-05-31 22:34
1367 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽私服
Posted @ 2008-05-31 22:34
3520 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽私服
Posted @ 2008-05-31 22:34
9155 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽私服
Posted @ 2008-05-31 22:34
7091 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽私服
Posted @ 2008-05-31 22:34
5462 回复更多评论
# re: 为什么用PreparedStatement而不是直接用"+"连接SQL语句
魔兽私服
Posted @ 2008-05-31 22:34
0216 回复更多评论
# Unikal'Nyi Kontent
Unikal'Nyi Kontent
Posted @ 2009-05-18 03:38
Hi everyone. We require from buildings two kinds of goodness: first, the doing their practical duty well: then that they be graceful and pleasing in doing it.
I am from Norway and also am speaking English, tell me right I wrote the following sentence: "So often when people encounter seo and want to start optimizing their sites they different consultants define seo differently.We offer affordable seo, ppc, search engine optimization, pay per click."

:-) Thanks in advance. Helki. 回复更多评论

新用户注册刷新评论列表


只有注册用户登录后才能发表评论。




网站导航: 博客园 IT新闻知识库 C++博客博问管理
相关文章: Rational Application Developer (RAD) 出现“JVM terminated. Exit code=1”错误的解决方案编程谜题 - 2 编程谜题1 让OSGi支持JSF Web开发 [OSGi]为什么我们需要Bnd？ 2007 Java Developer's Journal Readers' Choice Awards (zz) OSGi框架规范第4版之简要介绍制止打嗝的土方法 JSP标签使用和表单参数中文问题的一些snippets CSS属性列表及对应的JS DOM属性映射 [ZZ]

导航

留言簿(22)

随笔分类(268)

随笔档案(281)

Software

朋友的博客

搜索

积分与排名

最新评论

评论排行榜