为什么使用preparedstatement

最新推荐文章于 2022-03-26 17:00:38 发布
最新推荐文章于 2022-03-26 17:00:38 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: jdbc

一直都不是蛮清楚这二者的区别联系,今天就开一贴来详细的分析一下主要是从可读性,性能和效率上面来加以分析

在可读性方面来说:

//Statement编写语句方法:
   stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");

//PreparedStatement:
pstmt = con.prepareStatement("insert into tb_name(col1,col2,col2,col4) values (?,?,?,?)");   
pstmt.setString(1,var1);     
pstmt.setString(2,var2);     
pstmt.setString(3,var3);     
pstmt.setString(4,var4);     
pstmt.executeUpdate();

statement 显得比较乱而且因为引号的原因比较容易出错,而preparedment则比较直观简洁

2.在性能方面:

每种数据库都会对预编译的语句提供最大的性能优化,因为有些编译语句会被重复调用,所以就把被数据库编译后的执行代码缓存起来,当下次调用只要是相同的预编译语句就不需要编译,只要将参数传入预编译的语句执行代码(相当于一个函数)中就会得到执行,因此大大提高了效率(对mysql来说没有多大区别但是对Oracle来说差距就非常明显)

其次是Batch的使用

//多次执行preparestatement
PreparedStatement ps = conn.prepareStatement(  
   "INSERT into employees values (?, ?, ?)");  

for (n = 0; n < 100; n++) {  

  ps.setString(name[n]);  
  ps.setLong(id[n]);  
  ps.setInt(salary[n]);  
  ps.executeUpdate();  
} 

//使用Batch
PreparedStatement ps = conn.prepareStatement(  
   "INSERT into employees values (?, ?, ?)");  

for (n = 0; n < 100; n++) {  

  ps.setString(name[n]);  
  ps.setLong(id[n]);  
  ps.setInt(salary[n]);  
  ps.addBatch();  
}  
ps.executeBatch();

在例 1中, PreparedStatement被用来多次执行INSERT语句. 在这里, 执行了100次INSERT操作, 共有101次网络往返. 其中,1次往返是预储statement, 另外100次往返执行每个迭代. 在例2中, 当在100次INSERT操作中使用addBatch()方法时, 只有两次网络往返. 1次往返是预储statement, 另一次是执行batch命令. 虽然Batch命令会用到更多的数据库的CPU周期, 但是通过减少网络往返,性能得到提高. 记住, JDBC的性能最大的增进是减少JDBC驱动与数据库之间的网络通讯.
注:Oracel 10G的JDBC Driver限制最大Batch size是16383条,如果addBatch超过这个限制,那么executeBatch时就会出现“无效的批值”(Invalid Batch Value) 异常。因此在如果使用的是Oracle10G,在此bug减少前,Batch size需要控制在一定的限度
对于不必重复使用和可以控制输入值得情况下statement在性能上还是比较好的

3.安全方面(防止SQL注入):

String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我们把[' or '1' = '1]作为varpasswd传入进来.用户名hzy,看看会成为什么?
select * from tb_name = 'hzy' and passwd = '' or '1' = '1';
因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者:

把drop table tb_name;]作为varpasswd传入进来,则:
select * from tb_name = ‘随意’ and passwd = ”;drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.
而如果你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.只要全使用预编译语句,你就用不着对传入的数据做任何过虑.而如果使用普通的statement,有可能要对drop,;等做费尽心机的判断和过虑.
PreparedStatement继承于Statement,通常的JDBC实现中PreparedStatement最终还是通过Statement的相关方法来执行SQL的(可以做少量优化),其最主要的优势在于,可以减少SQL的编译错误(在JDBC中就可以捕获部分异常而不是由数据库服务器执行时返回错误代码)、增加SQL安全性(减少SQL注入的机会)

SpongeZhuang
关注
专栏目录
为什么推荐使用PreparedStatement而不是Statement?
Racheil的博客
07-10 1405
在JDBC应用中,有经验的开发者,大多都使用PreparedStatement代替Statement 那么,这是为什么呢? 原因基于以下几点: 1.代码的可读性和可维护性 首先,让我们来看看使用Statement的查询SQL语句,只能采用拼接的方法传入参数 int id = 1; String name = "rachel"; String sql = "select * ...
使用PreparedStatement访问数据库
12-14
`PreparedStatement`接口的使用步骤通常包括以下几个部分: 1. **创建PreparedStatement对象**:通过`Connection`对象的`prepareStatement()`方法创建`PreparedStatement`实例。例如: ```java String sqlStr = ...
为什么要使用PreparedStatement
Test_LD的专栏
02-14 848
1.预编译 2.防止恶意sql参数注入 参考:http://www.cnblogs.com/raymond19840709/archive/2008/05/12/1192948.html
为什么使用preparedStatement
lingtouyang的博客
01-11 556
preparedStatementStatement的优点 PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatem...
为什么要使用PreparedStatement并且其能防止sql注入
白鸽
08-11 1146
1,执行效率:Statement 采取直接编译 SQL 语句的方式,扔给数据库去执行,而 PreparedStatement 则先将 SQL 语句预编译一遍,再填充参数,这样效率会高一些。JDK 文档说:SQL 语句被预编译并且存储在 PreparedStatement 对象中,其后可以使用该对象高效地多次执行该语句。 2,代码可读性:Statement 中 SQL 语句中需要 Java 中的变量,加就得进行字符串的运算,还需要考虑一些引号、单引号的问题,参数变量越多,代码就越难看,而且会被单引号、双引号
JDBC为什么要使用PreparedStatement而不是Statement
08-10 419
:创建时的区别:      Statement statement = conn.createStatement();     PreparedStatement preStatement = conn.prepareStatement(sql);     执行的时候:      ResultSet rSet = statement.executeQuery(sql);     Resu
PreparedStatement作用
weixin_34272308的博客
10-27 535
2019独角兽企业重金招聘Python工程师标准>>> ...
jdbc PrepareStatement 设置值下表从1开始
23号员工的博客
08-11 1475
练习3:使用PreparedStatement插入宠物信息.zip
08-27
这个练习主要涉及如何使用PreparedStatement来插入宠物信息到数据库中。PreparedStatement的主要优势在于它的预编译能力和防止SQL注入的能力,使得代码更加安全和高效。 首先,我们需要了解PreparedStatement的工作...
Java数据库连接PreparedStatement使用详解
08-29
Java 数据库连接 PreparedStatement使用详解 Java 数据库连接 PreparedStatement 是 Java 语言中连接数据库的重要组件之一。通过使用 PreparedStatement,可以实现对数据库的 CRUD(Create, Read, Update, ...
JSP中的PreparedStatement对象操作数据库的使用教程
10-22
这篇文章将详细介绍PreparedStatement对象在JSP中操作数据库的使用方法,包括创建对象、传递参数、以及确保参数数据类型一致性等关键知识点。 首先,PreparedStatement实例可以包含预编译的SQL语句,这意味着SQL...
javaWeb03
m0_67477525的博客
03-26 1093
一、页面跳转方式以及区别 页面跳转方式有两种 1.重定向(响应) response 能够将页面跳转 地址栏发生了改变 但是不能将值传递到下一个界面 可以跳转到任意资源 在客户端发挥作用 2.转发(请求) request 能够将页面跳转 能够将值传递到下一个界面 但是地址栏不发生改变而是停留在了之前的界面 只能跳转到当前的项目内资源 在服务器端发挥作用 课堂案例: 二、JDBC(Oracle) //两个常量 String URL="jdbc:oracle:thin:@loc...
JDBC(五)PreparedStatement 详解
weixin_33962923的博客
03-03 313
PreparedStatement 是一个特殊的Statement对象,如果我们只是来查询或者更新数据的话,最好用PreparedStatement代替Statement,因为它有以下有点: 简化Statement中的操作 提高执行语句的性能 可读性和可维护性更好 安全性更好。 使用PreparedStat...
简述statement 和preparestatment的区别以及关于重复使用preparestatment和statement的理解
zeng6325998的博客
08-15 1955
前言 statement 和 PreparedStatement 均为接口,可以用他们来执行sql,但是他们还是有细微的差别。 1、执行sql的样式不同 Statement Statement执行的是静态的sql对象 PreparedStatement PreparedStatement既可以执行静态的sql对象,可以往里面出入参数。(这块注意: 参数类型不能错 比如int值就传入int) 样例如下,不多解释 Connection connection = DriverManager.g
PreparedStatement 简介
热门推荐
u013738122的博客
11-25 1万+
PreparedStatement 使用示例 stringsql = &quot;select * from people p where p.id = ? and p.name = ?&quot;; preparedstatement ps = connection.preparestatement(sql); //setxxx() 方法的第一个参数表示 ? 所在的位置,从1开始计算,第二个参数表示对应的值 ps....
PreparedStatement
Han_Lin-的博客
10-14 878
/** * 定义一个数据库连接对象,这里的引用必须是 java.sql 包中的。 * 因为只有这个包中才代表了 Java 提供的 JDBC 接口,这只是一套规范,具体实现则由数据库驱动来提供。 */ Connection conn = null; /** * 如果使用Statement,那么就必须在SQL语句中,实际地去嵌入值,比如之前的insert语句中values必须使用硬编码 ...
Performance Tips for JDBC
波波熊的专栏
12-11 313
翻译:陈先波(turbochen@163.com) 阅读原文:http://www.theserverside.com/articles/article.tss?l=JDBCPerformance_PartIII 一、使用Statement而不是PreparedStatement对象 JDBC驱动的最佳化是基于使用的是什么功能. 选择PreparedStatement还是Statement取决于...
为什么要关闭PreparedStatement对象
最新发布
05-20
关闭PreparedStatement对象是为了释放它占用的数据库资源和JDBC驱动程序的内存。如果不关闭PreparedStatement对象,可能会导致内存泄漏...因此,在使用完PreparedStatement对象后,一定要调用它的close()方法来关闭它。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值