JDBC(三)之PreparedStatement(预编译Statement)

最新推荐文章于 2021-09-02 21:48:07 发布
最新推荐文章于 2021-09-02 21:48:07 发布
阅读量545 收藏 3
点赞数
分类专栏: JSP、JDBC、SSM笔记 文章标签: PreparedStatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CNAHYZ/article/details/80558057
版权

    参考资料:http://how2j.cn?p=28607https://blog.csdn.net/qqhjqs/article/details/47262673

    百度百科简介:java.sql包中的PreparedStatement 接口继承了Statement,并与之在两方面有所不同:有人主张,在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement。

    一、使用方法

import java.sql.*;

public class PreparedStmt {
    public static void main(String[] args) {
        String driverName = "com.microsoft.sqlserver.jdbc.SQLServerDriver";
        String dbUrl = "jdbc:sqlserver://localhost:1433;DatabaseName=SC";
        String userName = "test";
        String userPwd = "test";
        Connection conn = null;
        PreparedStatement pStmt = null;
        try {
            Class.forName(driverName);
            conn = DriverManager.getConnection(dbUrl, userName, userPwd);
            String sql = "insert into course values(?,?,?,null)";
            pStmt = conn.prepareStatement(sql);//注意是prepareStatement()方法
        } catch (SQLException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
        try {
            //设置参数的值
            pStmt.setString(1, "1009");
            pStmt.setString(2, "JDBC教程");
            pStmt.setDouble(3, 3.5);
            pStmt.execute();
        } catch (SQLException e) {
            e.printStackTrace();
        }
        try {
            if(pStmt != null) pStmt.close();
            if(conn != null) conn.close();
        } catch(SQLException e) {
            e.printStackTrace();
        }
    }
}

    注意:1.设置参数值的地方是JAVA里唯二的基1(从一开始)的地方,另一个是查询语句中的ResultSet也是基1的。

    2.在执行 PreparedStatement 对象之前,必须设置每个 ? 参数的值。这可通过调用 setXxx 方法来完成,其中 Xxx须是与该参数相应的类型。

    二、与Statement相比的优点

    1.Statement 需要进行字符串拼接,可读性和维护性比较差
String sql = "insert into hero values(null,"+"'提莫'"+","+313.0f+","+50+")"

    PreparedStatement 使用参数设置,可读性好,不易犯错

String sql = "insert into hero values(null,?,?,?)";
    2.PreparedStatement尽最大可能提高性能.
    每一种数据库都会尽最大努力对预编译语句提供最大的性能优化,因为预编译语句有可能被重复调用,所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个函数)就会得到执行。这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配。那么在任何时候就可以不需要再次编译而可以直接执行。而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配。比如: 
  insertintotb_name(col1,col2)values('11','22');
  insertintotb_name(col1,col2)values('11','23');
  即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.
3.防止SQL注入式攻,提高安全性
   假设name和passwd是用户传来的数据,有下方语句:
  
String sql="select * from tb_name where name ='" +name +"'and passwd='"+passwd+"'";

 如果我们把['or'1'='1]作为passwd传入进来,用户名随意,则执行的SQL语句会是:

select * from tb_name ='任意字符' and passwd='' or '1'='1';

 因为'1'='1'肯定成立,所以可以任意通过验证.更有甚者把[';drop table tb_name;]作为passwd传入进来,则SQL语句会被改写成:

select * from tb_name ='随意'and passwd='';drop table tb_name;
    有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行。
    而如果你使用预编译语句,你传入的任何内容就不会和原来的语句发生任何匹配的关系。只要全使用预编译语句,你就用不着对传入的数据做任何过虑。而如果使用普通的statement,有可能要对drop等做费尽心机的判断和过滤。
     SQL注入 攻 击 只 对 Statement有效, 对 PreparedStatement 是无效的; PreparedStatement可以在传入sql后,执行语句前,给参数赋值,避免了因普通的拼接sql字符串语句所带来的安全问题,而且准备sql和执行sql是在两个语句里面完成的,也提高了语句执行的效率 比如单引号会给你加一个转义,加个斜杠。而在数据库里执行的语句可能会是下面这样: 
select * from t_user where password='ddd\' or \'1\'=\'1';

    它会把恶意的注入语句预处理为参数。

    注意:和Statement不不同的是,使用PreparedStatement时,是无法直接使用System.out.println(SQL)输出当前执行的SQL语句的,此时输出的结果会是:


    仍然会是你当时定义的String类型的带 ?的SQL语句。

CNAHYZ
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA 中级 / JDBC / JDBC系列教材 (五)- 在JDBC中使用编译STATEMENT 以及它的优点
q306507291的博客
07-20 214
详情看这里JAVA 中级 / JDBC / JDBC系列教材 (五)- 在JDBC中使用编译STATEMENT 以及它的优点 1:使用PreparedStatementStatement一样,PreparedStatement也是用来执行sql语句的。 与创建Statement不同的是,需要根据sql语句创建PreparedStatement 除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接 注: 这是JAVA里唯二的基1的地方,另一个是查询语句...
编译PrepareStatement
feimeng4s的博客
07-24 813
2020.7.24、(1)PreparedStatement的学习JDBC的标准使用、(2)JDBC事务管理(1)PreparedStatement的学习JDBC的标准使用昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录(2)JDBC事务管理 (1)PreparedStatement的学习JDBC的标准使用 昨天学习的登录程序竟然出问题了,输入别的密码竟然能登录 请输入用户名: dfgdf 请输入密码: a’ or ‘a’ ='a 登录成功 就是上面这个 原来这是因为查询语句的问题 原来的查询语句是这
PreparedStatement的解释和优势,PreparedStatementStatement的比较
qq_37020594的博客
10-10 1992
PreparedStatement的解释:   PreparedStatement是java.sql包下的一个接口,用来执行sql语句查询,通过调用conn.prepareStatement(sql)方法可以获得PreparedStatement对象。   从上图可知PreparedStatement继承于Statement,但PreparedStatementStatement有很大不同。 ...
你不知道的PreparedStatement编译
布道
11-28 7310
大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql编译的形式,大致知道mybatis底层使用PreparedStatement,过程是先将带有占位符(即”?”)的sql模板发送至mysql服务器,由服务器对此无参数的sql进行编译后,将编译结果缓存,然后直接执行带有真实参数的sql。如果你的基本结论也是如此,那你就大错特错了。 目录 1. mysql是否默认开启了编译功...
oracle 编译插入,oracle学习笔记(七) 编译Statement介绍与使用
weixin_34494211的博客
04-06 249
编译Statement优点执行效率高由于编译语句使用占位符 ”?”,在执行SQL之前语句会被先发送到Oracle服务器进行语法检查和编译等工作,并将SQL语句加入到Oracle的语句缓冲池里,随后再对SQL语句中的占位符”?”设置定值。那么也就说如果你要执行1000行插入的时候第一次先SQL语句发送给Oracle服务器处理,接着以后只传递值给占位符就可以了。因此它不需每次传递大量的SQL语句也...
JDBCPreparedStatement类中编译的综合应用解析
09-05
PreparedStatement是Java JDBC中用于执行编译SQL语句的接口,它是Statement的子接口。编译的SQL语句可以提高数据库操作的性能和安全性。在数据库系统中,编译意味着SQL语句在首次执行前已经过编译,形成一个...
详解Java的JDBCStatementPreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是StatementPreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
一文搞懂MySQL编译
09-08
- 第三步:执行(Execute)编译的语句,如`execute myfun using @str`,将使用设置好的变量值来执行SQL。 3、使用PreparedStatement执行编译 在Java中,可以使用PreparedStatement接口实现MySQL编译。以下是...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
MySQL编译功能详解
09-09
MySQL编译的执行过程包括三个阶段: - 编译阶段:使用`PREPARE`语句创建一个编译的语句对象,例如:`PREPARE myfun FROM 'SELECT * FROM t_book WHERE bid=?';` - 设置参数:使用`SET`语句为编译语句的占位...
MyBatis源码分析(二)prepareStatement编译的执行流程
lz710117239的博客
06-16 3220
通常我们如果自己写建立数据库连接的代码的时候,都会这么写 pstmt = conn.prepareStatement(sql); pstmt.setString(1, email); result = pstmt.executeQuery(); 而Mybatis是怎么封装,又是怎么进行编译的呢,今天就一文让你理解Mybatis的原理 一、获取Executor 我们之前一篇文章《MyBatis源码分析(一)基本请求流程》讲了Mybatis执行的基本流程,包括Plugin插件。 其实在执行过程中,所有的sq
【SQL】JDBCPreparedStatement类中“编译”的综合应用
欲买桂花同载酒,终不似,少年游。
07-29 3968
编译 SQL 语句被编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 编译的优点 1、PreparedStatement编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程。 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象
oracle的编译,oracle学习笔记(七) 编译Statement介绍与使用
weixin_34677764的博客
04-08 819
编译Statement优点执行效率高 由于编译语句使用占位符 ”?”,在执行SQL之前语句会被先发送到Oracle服务器进行语法检查和编译等工作,并将SQL语句加入到Oracle的语句缓冲池里,随后再对SQL语句中的占位符”?”设置定值。 那么也就说如果你要执行1000行插入的时候第一次先SQL语句发送给Oracle服务器处理,接着以后只传递值给占位符就可以了。 因此它不需每次传递大量的SQL...
编译
野生码农
02-24 829
编译又称为处理,是做些代码文本的替换工作  处理#开头的指令,比如拷贝#include包含的文件代码,#define宏定义的替换,条件编译等  就是为编译做的备工作的阶段  主要处理#开始的编译指令  编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。常见的编译指令有:  (1)#include 指令  该指令指示编译器将xxx.xx
PreparedStatement编译的sql执行对象
weixin_30563319的博客
09-27 267
一、编译,防sql注入 其中,设置参数值占位符索引从1开始;在由sql 连接对象创建 sql执行对象时候传入参数sql语句,在执行对象在执行方法时候就不用再传入sql语句; 数据库索引一般是从1开始,java对象一般是从0开始; java代码方法subString(2,5)是左闭右开区间,数据库subString(str, 5) 是从5开始截取...
JDBC中的——PreparedStatement 编译原理
热门推荐
孤影渡寒江的博客
06-20 1万+
JDBC中的——PreparedStatement 编译原理 一、prepareStatement语句有三大好处:1、提高了代码的可读性和可维护性 虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:Statement.executeUpdate("INSERT INTO tb
JDBC 编译statement---PreparedStatement
litengbin的博客
01-10 334
使用PreparedStatementStatement一样,PreparedStatement也是用来执行sql语句的 与创建Statement不同的是,需要根据sql语句创建PreparedStatement 除此之外,还能能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接 注: 这是JAVA里唯二的基1的地方,另一个是查询语句中的ResultSe
PreparedStatement 编译
Ldbiy的专栏
08-01 3920
什么是编译语句?  编译语句PreparedStatement是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql语句时,需要将sql语句发送给DBMS,由DBMS首先进行编译再执行(在创建通道的时候并不进行sql的编译工作,事实上也无法进行编译)。而通过PreparedStatement不同,在创建PreparedStatement对象时就指
PreparedStatement编译)和Statement的区别
m0_51649818的博客
09-02 185
1、语法不同 PreparedStatement可以使用编译的sql,只需要发送一次sql语句,后面只要发送参数即可,公用一个sql。 Statement只能使用静态的sql。 2、效率不同 PreparedStatement使用了sql缓冲区,效率要比Statement高。 3、安全性不同 PreparedStatement可以有效防止sql注入,而Statement不能防止sql注入。 ...
JDBC 中的 PreparedStatement 相比 Statement
最新发布
05-24
PreparedStatementStatement 的子类,它们的主要区别在于 PreparedStatement 可以使用编译功能,即在执行 SQL 语句之前,数据库会将 SQL 语句编译成二进制格式并存储在缓存中,下一次执行相同的 SQL 语句时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值