关闭

PreparedStatement与Statement区别

标签: PreparedStatementStatementsql注入
342人阅读 评论(0) 收藏 举报
分类:

一、PreparedStatement的预编译机制,使其与Statement有着显著的区别

 

       (1)PrepareStatement语句,在经过编译器编译后,被缓存下来,下次调用相同的预编译语句时,就不需要再次编译,只要将参数直接传入编译过的语句执行代码中就能够执行。这并是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配,那么在任何时候都可以不需要再次编译而直接执行。

 

       (2)PreparedStatement提高了安全性

 

        Statement语句不安全的 简单示例:String sql = "select * from tb wherename='"+appName+'"";利用appName参数值的输入,来生成恶意的sql语句,如:将[' or '1'='1']传入进来,就将句子的原意完全转变。

 

         PreparedStatement的预编译机制使你传入的任何内容不会和原来的语句发生任何匹配的关系,这样,你可以对传入数据的过滤省心许多。

 

 

 

二、PreparedStatement可以比较好地解决系统的本地化问题。

 

      譬如,在一个原始的英语系统上装好了sqlserver,那么它缺省的字符集是ANSI的Latin字符集;现在我们要将此系统作中文系统用,装好各种语言包,设置好location等等,我们期望用java写的application能够正常显示中文;但是,如果我们使用Statement往sqlserver里面插入中文得到将是编码丢失的问号等;这是因为更改设置以后,我们的字符集是gb2312,而sqlserver字符集没有变,中文串插入数据库中导致什么呢? latin字符集显然只有gb2312的一部分字符,如此导致编码丢失,无法正常显示。

 

 

 

三、谈谈PreparedStatement的缺点

 

   在执行SQL语句出错的时候,我们没有办法看到完整的SQL语句,甚至看不到设置的参数,这样,对调试带来的不便性。


转载处:http://blog.163.com/xiaokangzhijia@126/blog/static/1659548562010927222912/

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:47598次
    • 积分:835
    • 等级:
    • 排名:千里之外
    • 原创:26篇
    • 转载:51篇
    • 译文:2篇
    • 评论:12条
    最新评论