Q&A
PDOで言えば
前者はquery()で
後者はprepare(),execute()ってことですね。
ありがとうございます。
javaでのMysqlを扱う際の質問です。
Statement stmt = conn.createStatement();
PreparedStatement pstmt = dns.prepareStatement(sql);
型がPreparedなのにコンストラクタはoreoaraとか
createStatemenとかprepareStatementとかごちゃごちゃしていて、
createStatemenとprepareStatementの違いを調べていたのですがよくわからないので解説できる方お願いします。
使い分けがわかりません。
回答2件
0
ベストアンサー
PreparedStatement は Statement をスーパーインタフェースとしてます。
StatementとPreparedStatementは両方ともSQLを扱いますが、Statementは静的なSQLを、PreparedStatementはプレースホルダを使った動的SQLを扱えます。
利用頻度としては、変数を扱えるPreparedStatementの方が多いでしょう。
SQL文をJavaコード内で組み立てる量が減り、PreparedStatementの機能である「パラメタ化クエリ」を使ってSQLを記述すれば、SQLインジェクションを回避できる利点があるためです。
JPCERT| Java セキュアコーディングスタンダード|IDS00-J. SQL インジェクションを防ぐ
PreparedStatementの扱い方は以下サイトにまとめられています。
JavaDrive|prepareStatementの使用
投稿2016/09/09 09:51
総合スコア12011
0
createStatementは、パラメータなしのSQLを実行するのに使います。
prepareStatementは、パラメータを渡して、複数SQLを実行する場合に使います。毎回SQL文を解析するのは無駄なので、パラメータだけ違う場合はこちらを使ったほうが効率がいいです。
参考
http://docs.oracle.com/javase/jp/7/api/java/sql/PreparedStatement.html
投稿2016/09/09 09:46
総合スコア6586
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2016/09/12 01:21