В чем разница между Statement и PrepareStatement классами в JDBC

1️⃣ Как кратко ответить

Statement используется для выполнения простых SQL-запросов без параметров, тогда как PreparedStatement позволяет выполнять параметризованные запросы, обеспечивая защиту от SQL-инъекций и улучшая производительность за счет предварительной компиляции запросов.

2️⃣ Подробное объяснение темы

В Java Database Connectivity (JDBC) классы Statement и PreparedStatement используются для выполнения SQL-запросов к базе данных. Они имеют разные цели и особенности, которые важно понимать для эффективного использования.

Statement:

• Statement используется для выполнения простых SQL-запросов, которые не содержат параметров. Это может быть полезно для выполнения статических SQL-команд, таких как CREATE TABLE или DROP TABLE.
• Запросы, выполненные с помощью Statement, компилируются каждый раз, когда они выполняются. Это может привести к снижению производительности, особенно если один и тот же запрос выполняется многократно.
• Пример использования Statement:

Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "user", "password");
Statement statement = connection.createStatement();
ResultSet resultSet = statement.executeQuery("SELECT * FROM users");
​
while (resultSet.next()) {
    System.out.println("User ID: " + resultSet.getInt("id"));
    System.out.println("User Name: " + resultSet.getString("name"));
}

• В этом примере создается объект Statement, который используется для выполнения SQL-запроса SELECT * FROM users. Результаты запроса обрабатываются с помощью объекта ResultSet.

PreparedStatement:

• PreparedStatement используется для выполнения параметризованных SQL-запросов. Это позволяет вставлять параметры в запросы, что делает их более гибкими и безопасными.
• Запросы, выполненные с помощью PreparedStatement, компилируются один раз и могут быть выполнены многократно с разными параметрами. Это улучшает производительность, особенно при многократном выполнении одного и того же запроса с разными данными.
• PreparedStatement защищает от SQL-инъекций, так как параметры передаются отдельно от SQL-кода.
• Пример использования PreparedStatement:

Connection connection = DriverManager.getConnection("jdbc:mysql://localhost:3306/mydatabase", "user", "password");
String sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setInt(1, 10); // Устанавливаем значение параметра
​
ResultSet resultSet = preparedStatement.executeQuery();
​
while (resultSet.next()) {
    System.out.println("User ID: " + resultSet.getInt("id"));
    System.out.println("User Name: " + resultSet.getString("name"));
}

• В этом примере создается объект PreparedStatement с параметризованным SQL-запросом. Метод setInt(1, 10) устанавливает значение параметра, где 1 — это индекс параметра в запросе, а 10 — значение, которое будет подставлено. Это позволяет безопасно и эффективно выполнять запросы с параметрами.

Основные различия:

1. Параметризация: Statement не поддерживает параметризацию, тогда как PreparedStatement позволяет использовать параметры, что делает запросы более гибкими и безопасными.
2. Производительность: PreparedStatement компилируется один раз и может быть выполнен многократно, что улучшает производительность при многократном выполнении одного и того же запроса.
3. Безопасность: PreparedStatement защищает от SQL-инъекций, так как параметры передаются отдельно от SQL-кода, в отличие от Statement, где параметры могут быть встроены в строку SQL-запроса.

Понимание этих различий помогает выбрать правильный инструмент для работы с базами данных в Java, обеспечивая безопасность и эффективность приложений.