SQL语句预编译的个人理解

最新推荐文章于 2023-11-13 21:53:55 发布
最新推荐文章于 2023-11-13 21:53:55 发布
阅读量1.1k 收藏 1
点赞数 2
分类专栏: MySQL学习 文章标签: mysql sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JAYU_37/article/details/105444736
版权

预编译SQL语句(动态SQL)

预编译SQL语句与静态SQL语句的区别

预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。SQL语句的执行就是靠Statement执行的。

  1. 静态SQL语句:
 //4.获取执行sql对象
 statement = connection.createStatement();
 //5.执行sql
 resultSet = statement.executeQuery(sql);

在获取到Statement对象后,SQL语句被发送到DBMS,完成了解析、检查、编译等工作,如果没有错误才可以执行
2. 预编译SQL语句:

//赋值语句使用?替换
   String sql = "select *from user where username = ? and password = ?;";
   psmt = connection.prepareStatement(sql);
   //为?赋值
   psmt.setString(1,username);
   psmt.setString(2,password);
   resultSet = psmt.executeQuery();

在获取到PreparedStatement 对象,前SQL语句被先发送到DBMS,完成了解析、检查、编译等工作,如果没有错误将返回PreparedStatement 对象用于执行SQL

3. SQL注入案例:

SELECT * FROM user WHERE username='admin' AND password='passwd'

--当输入了下面的用户名和密码,上面的SQL语句变成:
SELECT * FROM user WHERE username=''or 1=1 #' AND password=''

SELECT * FROM user WHERE username=‘or 1=1 #’ AND password=’’
由于是直接拼接好的SQL语句发送到数据库,所以等价于
SELECT * FROM user

可见如果采用了Statement执行SQL语句,将直接发送SELECT * FROM user WHERE username=’‘or 1=1 #’ AND password=’'到数据库,并且被DBMS解析后变成SELECT * FROM user,直接被绕过验证了,这是多么可怕的事情。
但是如果采用的是预编译语句处理,则发送到DBMS的是
SELECT * FROM user WHERE username=? AND password=?
setXXX之后的语句变成

select * FROM user WHERE username=\'\ or 1=1 #\'\ AND password=''

其中 单引号被MySQL的语法给转义了,导致无法匹配上数据库。

总之:相比正常的Statement执行SQL,预编译SQL的方法更为高效,体现在如果一条SQL语句要被执行多遍,则只会被DBMS检查一次,相比正常执行SQL的效率提高了;PreparedStatement还可以防止SQL注入问题,安全性也更高。

如有出入,恳请指教

米兰的小铁匠z
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
sql预编译
weixin_52237037的博客
10-18 2750
sql预编译就是说:对于一个sql语句的执行,首先要进行,而上面这些sql语句,结构相同,只是参数不同,需要,这样就导致执行效率低。我们可以使用以下语句预编译后的sql语句,执行代码会缓存下来,这样在下次调用的时候,直接给占位符传参,执行即可。所以我们对于相同的预编译语句,我们只需要。可以视为将sql语句。一次编译、多次运行,省去了解析优化等过程。
SQL语句预编译
热门推荐
yushui的笔记本
04-22 1万+
SQL语句预编译一、预编译SQL语句处理预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该
SQL语句预编译(查询)
qq_41676638的博客
07-09 5438
SQL语句预编译 SQL语句预编译能预防SQL注入提高安全性,是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为...
Sql预编译
南陈的博客
07-06 2547
一、什么是sql的编译? 当数据库接收到sql时,需要词法和语义的解析,优化sql,制定执行计划。每次编译都比较耗时间。 二、如何减少编译? 在实际开发中,对数据库的基本操作就是curd,每次执行sql都有经过编译过程,那么就需要消耗大量的时间,因此就有了预编译的过程,预编译可以想象成将sql变成一个函数,在需要的时候传参进行即可使用。这样就能达到一次编译,多次运行的效果。 三、预编译的实...
sql预编译
Mark
07-20 4113
1、什么是预编译 1.1、 sql的执行过程 ① 词法和语义分析② 优化sql语句,指定执行计划③ 执行并返回结果我们把这种普通语句称作Immediate Statements。 select colume from table where colume=1; select colume from table where colume=2; 但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同,那么这个时候会对上面两条语句生成两个执行计划,一千次查询就需要一千个执行计划,
sql 预编译语句
weixin_41563161的博客
11-25 5295
sql 预编译语句 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种普通语句称作Immediate Statements。 但是很多情况,我们的一条sql语句可能会反
mysql预编译sql语句 语法_Sql预编译与模拟预编译研究
weixin_39946996的博客
02-03 523
写在前面众所周知,预编译是解决sql注入的一个很好的方案,但是预编译在现实使用中却有着很多有趣的细节需要研究下。在没有经过实验之前,针对如下问题我也比较模糊,例如:1、Mysql预编译和模拟预编译有什么不同?哪种方式理论上更加安全呢?2、PHP中链接数据库Mysqli接口与PDO接口默认采用哪种方式进行预编译?3、Python中MySQLdb又是默认采用哪种方式进行预编译?4、程序采用Mysql数...
mysql 预编译语句_SQL预编译
weixin_39928017的博客
01-19 930
1.数据库预编译起源(1)数据库SQL语句编译特性:数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。(2)减少编译的方法如果每次都需要经过上面的词法语义解析、...
SQL语句预编译(增删改)
qq_41676638的博客
07-10 2337
SQL语句预编译 SQL语句预编译能预防SQL注入提高安全性,是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为...
031、SQL语句预编译
细致-专业-实操
07-09 298
动态语句和SQL注射。
Mabatis中动态sql语句的写法
03-13
有些时候�sql 语句where 条件中�需要一些安全判断�例如按某一条件查询时如果传 入的参数是空�此时查询出的结果很可能是空的�也许我们需要参数为空时�是查出全部的 信息。使用Oracle 的序列、mysql 的函数生成Id。这时我们可以使用动态sql
SQL预编译
weixin_47804371的博客
03-22 6499
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
预编译sql
qq_40409115的博客
06-20 1517
package JDBC; import java.io.InputStream; import java.sql.Connection; import java.sql.DriverManager; import java.util.Properties; /* * 改进DBUtil,使得connection不需要传参 * */ public class DBUtil2 { //数据...
2021-04-06 预编译sql语句学习
weixin_45244707的博客
04-06 379
sql语句学习总结: 1.采用预编译做查询时, rs = psmt.executeQuery();语句查询返回result结果集。 conn = DatabaseBean.getConnection(); psmt = conn.prepareStatement("select sno,sname,ssex,sage,sdept from student where sno=?"); psmt.setString(1, ...
MySQLSQL预编译及防SQL注入
最新发布
qq_29750559的博客
11-13 1781
本文主要介绍mysql预编译原理、作用以及它是如何防止sql注入的
sql 预编译 & 防止sql注入:
梦~'
10-10 4005
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL预编译 2.数据库预编译为何能防止SQL注入 一、sql预编译数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相...
mysql预编译SQL语句_Oralce预编译Sql语句在JDBC中的处理
weixin_35695430的博客
01-28 190
预编译接口PreparedStatement是java.sql中的一个接口,它是Statement的一个自接口。Statement执行Sql语句时,需要将完整的Sql发送一、预编译SQL语句处理预编译接口PreparedStatement是java.sql中的一个接口,它是Statement的一个自接口。Statement执行Sql语句时,需要将完整的Sql发送给数据库数据库经过编译后再执行。...
mysql预编译sql语句
08-12
MySQL预编译SQL语句是一种优化手段,可以提高SQL语句的执行效率和安全性。预编译SQL语句的过程是将SQL语句的结构和参数分离,先将SQL语句编译为一个可执行的执行计划,然后在每次执行时只需传入参数,无需重新编译,从而减少了重复解析和编译的开销。 在MySQL中,预编译SQL语句可以通过使用预处理语句来实现。预处理语句使用占位符(?)来表示参数,然后使用预处理器将SQL语句发送给MySQL服务器进行编译。一旦SQL语句预编译,就可以多次执行该语句,只需传入不同的参数值即可。 以下是一个使用预编译SQL语句的示例: ```java String sql = "SELECT * FROM users WHERE id = ?"; PreparedStatement statement = connection.prepareStatement(sql); statement.setInt(1, 1); // 设置第一个参数的值为1 ResultSet result = statement.executeQuery(); ``` 在上述示例中,先定义了一个带有占位符的SQL语句,然后通过`prepareStatement`方法创建了一个`PreparedStatement`对象。通过`setInt`方法设置了第一个参数的值为1,最后执行`executeQuery`方法执行查询操作。 使用预编译SQL语句可以有效地防止SQL注入攻击,并且可以提高查询的性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值