SQL的预编译

已于 2023-08-07 20:21:54 修改
阅读量196 收藏 1
点赞数 2
分类专栏: Java初学者笔记本 文章标签: sql spring java
于 2023-08-01 20:53:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CadWasUsed/article/details/132050355
版权

1、介绍

当我们开启日志之后,我们再运行单元测试。可以看到在控制台中,输出了执行的SQL语句。 

但是我们发现,输出的SQL语句为:delete from emp where id = ?,我们输入的参数 16 并没有在后面拼接,id的值是使用?进行占位。那这种SQL语句我们称为 预编译SQL

预编译的SQL,有两个优势:

1、性能更高

2、防止SQL注入

1.1、性能提升

1. 性能更高: 预编译SQL,编译一次之后会将编译后的SQL语句缓存起来,后面再次执行这条insert语句时,SQL语句一样,不会再次编译。 只是输入的参数不同。

性能提升原因见下图:

1.2、注入

防止SQL注入:将敏感字进行转义,并变得安全。

SQL注入是通过操作输入来修改事先定义好的SQL语句,用以达到执行代码对服务器进行攻击的方法。

如果不防止SQL注入,那么不管你是什么账号密码,只要登录者输入如下代码都可以登陆成功:

 所以这是很不安全的!

2、参数占位符

在Mybatis中提供的参数占位符有两种:${...}, #{...}。

 他们俩的区别(超高几率面试会问,要记好):

2.1、#{...}

执行SQL时,会将#{…}替换为?,生成预编译SQL,会自动设置参数值。

使用时机:参数传递,都使用#{…}

安全!

2.2、${...}

拼接SQL。直接将参数拼接在SQL语句中,存在SQL注入问题。

使用时机:如果对表名、列表进行动态设置时使用。

不安全!,但是合适的时候也有用

CadWasUsed
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL预编译和批量提交对性能提升效果探索》测试代码
03-21
在IT领域,尤其是在数据库管理与优化中,SQL预编译和批量提交是两个重要的概念,它们对于提升系统性能有着显著的影响。这篇测试代码的目的就是探讨并验证这两种技术如何提高SQL查询和数据处理的速度。 首先,让我们...
SQL预编译
weixin_47804371的博客
03-22 6473
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
sql预编译
Mark
07-20 3782
1、什么是预编译 1.1、 sql的执行过程 ① 词法和语义分析② 优化sql语句,指定执行计划③ 执行并返回结果我们把这种普通语句称作Immediate Statements。 select colume from table where colume=1; select colume from table where colume=2; 但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同,那么这个时候会对上面两条语句生成两个执行计划,一千次查询就需要一千个执行计划,
MySQLSQL预编译及防SQL注入
最新发布
qq_29750559的博客
11-13 1650
本文主要介绍mysql预编译原理、作用以及它是如何防止sql注入的
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
热门推荐
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
[MySQL]——SQL预编译、动态sql
Panci_的博客
10-31 7738
一条sql语句的执行过程为语法检查与解析->sql优化->编译->执行。原始的sql存在弊端,每条语句编译生成不同的SQL语句,浪费性能和空间。 两种参数占位符的区别 动态SQL的使用
spring自带的jdbcTemplate查询、插入预编译使用
07-28
预编译SQL可以有效防止SQL注入,提高代码的可读性和执行效率。在使用`jdbcTemplate`进行预编译查询时,我们通常会使用`query()`或`queryForList()`方法。例如: ```java String sql = "SELECT * FROM table WHERE ...
SQL.预编译.docx
12-11
SQL预编译是数据库操作中的一个重要概念,尤其是在Java开发中,使用像iBatis这样的持久层框架时,解决SQL注入问题的关键技术之一。SQL注入是一种常见的安全漏洞,它允许攻击者通过恶意输入修改SQL语句的执行逻辑,...
MySQL预编译功能详解
12-16
MySQL预编译功能是一种优化技术,主要用于提高数据库操作的性能,特别是在执行大量重复的SQL语句时。预编译的核心思想是将SQL语句的语法检查和编译过程提前到第一次执行时完成,之后只需替换不同的参数即可,避免...
一文搞懂MySQL预编译
09-08
MySQL预编译是一种提高数据库操作效率的技术,尤其在处理大量重复SQL语句时效果显著。预编译的主要目的是减少语法检查和编译的开销,从而提升数据库的性能。本文将深入探讨MySQL预编译的概念、好处、执行过程以及...
JDBC之PreparedStatement类中预编译的综合应用解析
09-05
PreparedStatement是Java JDBC中用于执行预编译SQL语句的接口,它是Statement的子接口。预编译SQL语句可以提高数据库操作的性能和安全性。在数据库系统中,预编译意味着SQL语句在首次执行前已经过编译,形成一个...
网站的预编译
07-26
网站的预编译是一个重要的开发流程,特别是在大型项目或者高性能网站的构建中,它能够显著提升网站的加载速度和运行效率。预编译是将动态语言(如PHP、Ruby on Rails、ASP.NET等)的代码在部署之前转换为静态HTML、...
JAVA预编译示例代码
08-21
本文提供了一个 JAVA 预编译示例代码,涵盖了预编译中使用 like、javaSQL 预编译异常、预编译语句支持 in 方式等多个方面的知识点。 1. 预编译中使用 like 在预编译中使用 like 时,需要在值的地方加 % 号,以便...
sql server 编译与重编译详解
12-16
SQL Server接收到任何指令,如查询、批处理、存储过程、触发器、预编译指令或动态SQL语句,它首先进行语法和语义解析,然后进行编译,生成可执行的执行计划。在编译过程中,SQL Server会基于涉及的对象的架构、...
sql注入预防,参数预编译示例
05-07
sql注入防护,预编译示例
sql预编译
weixin_52237037的博客
10-18 2719
sql预编译就是说:对于一个sql语句的执行,首先要进行,而上面这些sql语句,结构相同,只是参数不同,需要,这样就导致执行效率低。我们可以使用以下语句预编译后的sql语句,执行代码会缓存下来,这样在下次调用的时候,直接给占位符传参,执行即可。所以我们对于相同的预编译语句,我们只需要。可以视为将sql语句。一次编译、多次运行,省去了解析优化等过程。
sql 预编译语句
weixin_41563161的博客
11-25 5243
sql 预编译语句 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种普通语句称作Immediate Statements。 但是很多情况,我们的一条sql语句可能会反
sql 预编译 & 防止sql注入:
梦~'
10-10 3962
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL预编译 2.数据库预编译为何能防止SQL注入 一、sql预编译: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相...
java实现sql预编译
08-04
Java实现SQL预编译可以通过使用占位符(?)的方式来实现。首先,将SQL语句中需要传入的参数位置用问号(?)代替。然后,使用PreparedStatement对象进行预编译,将SQL语句传入prepareStatement方法中。接下来,使用setXXX...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值