Java--Statement和PrepareStatement的区别

已于 2022-04-25 10:45:01 修改
阅读量900 收藏 4
点赞数 1
分类专栏: JavaEE 文章标签: Statement PrepareState
于 2020-10-26 17:41:49 首次发布
原文链接:https://blog.csdn.net/yudianxiaoxiao/article/details/100879175
版权

一、语法

两者的语法区别

1、Statement语法

Statement stmt = connect.createStatement();
String sql= "SELECT * FROM cg_user WHERE userId=10086 AND name LIKE 'xiaoming'";
ResultSet rs = stmt.executeUpdate(sql);

2、PrepareStatement 

PreparedStatement preparedStatement = connect.prepareStatement("SELECT * FROM cg_user WHERE userId= ? AND name LIKE ?");  
preparedStatement .setInt(1, 10086 );  
preparedStatement .setString(2, "xiaoming");  
preparedStatement .executeUpdate();

二、访问数据库的速度

prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。

createStatement不会初始化,没有预处理,没次都是从0开始执行SQL

PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。

这种转换也给你带来很大的便利,不必重复SQL语句的句法,而只需更改其中变量的值,便可重新执行SQL语句。选择PreparedStatement对象与否,在于相同句法的SQL语句是否执行了多次,而且两次之间的差别仅仅是变量的不同。如果仅仅执行了一次的话,它应该和普通的对象毫无差异,体现不出它预编译的优越性。

三、prepareStatement批量执行:

好处:Update大量的数据时, 先构建一个INSERT语句再多次的执行, 会导致很多次的网络连接.。要减少JDBC的调用次数改善性能, 可以使用PreparedStatement的AddBatch()方法一次性发送多个查询给数据库。

// 初始实现:
PreparedStatement ps = conn.prepareStatement(
                "INSERT into db_user values (?, ?, ?)");
        for (n = 0; n < 100; n++) {
            ps.setString(name[n]);
            ps.setLong(id[n]);
            ps.setInt(salary[n]);
            ps.executeUpdate();
        }
//改进实现:
//使用Batch功能
        PreparedStatement ps = conn.prepareStatement(
                "INSERT into db_user values (?, ?, ?)");
        for (n = 0; n < 100; n++) {
            ps.setString(username[n]);
            ps.setString(password[n]);
            ps.addBatch();
        }
        ps.executeBatch();

四、SQL注入漏洞:

Statement stmt = connect.createStatement();
String sql= "SELECT * FROM cg_user WHERE userId"+ userId +" AND name LIKE " + name";
ResultSet rs = stmt.executeUpdate(sql);

假如入参name的值为 or '1' = '1' 那么SQL是成立的,就会返回所有数据,或者变成这个[‘;drop table cg_user ;],那么SQL拼接后就变成:

SELECT * FROM cg_user WHERE userId='' AND name LIKE '' ; drop table cg_user ;

如果使用prepareStatement预编译就不会了,因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析和编译,对应的执行计划也会缓存下来,之后数据库就会以参数化的形式进行查询。set值永远是把占位符当成data处理。

PreparedStatement preparedStatement = connect.prepareStatement("SELECT * FROM cg_user WHERE userId= ? AND name LIKE ?");  
preparedStatement .setInt(1, '');  
preparedStatement .setString(2, "; drop table cg_user");  
preparedStatement .executeUpdate();

sql会变成:

SELECT * FROM cg_user WHERE userId='' AND name LIKE '; drop table cg_user'  ;

总结:

1、JDBC驱动的最佳化是基于使用的是什么功能. 选择PreparedStatement还是Statement取决于你要怎么使用它们. 对于只执行一次的SQL语句选择Statement是最好的. 相反, 如果SQL语句被多次执行选用PreparedStatement是最好的

2、PreparedStatement的第一次执行消耗是很高的. 它的性能体现在后面的重复执行. 使用PreparedStatement的方式来执行一个针对数据库表的查询. JDBC驱动会发送一个网络请求到数据解析和优化这个查询. 而执行时会产生另一个网络请求. 在JDBC驱动中,减少网络通讯是最终的目的. 如果我的程序在运行期间只需要一次请求, 那么就使用Statement. 对于Statement, 同一个查询只会产生一次网络到数据库的通讯.

MinggeQingchun
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC PrepareStatement 使用(附各种场景 demo)
01-14
该资源中包含 JDBC 连接 MySQL 完整代码、常规 select、update 语句完整代码,以及 JDBC 批量处理数据的几种不同方式完整代码,且附带 使用说明!
java-db-transaction-manager:Java的简单DB事务管理器
05-20
db-transaction-manager 仅仅是Java的DB事务管理器。 概要 提交的基本交易 TransactionManager txnManager = new TransactionManager (connection); txnManager . txnBegin(); try ( PreparedStatement preparedStatement = connection . prepareStatement( " INSERT INTO foo (id, var) VALUES (1, 'baz') " )) { preparedStatement . executeUpdate(); } txnManager . txnCommit(); // insert successfully 带回滚的基本交易 TransactionManager txnM
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
JDBC 中preparedStatementStatement区别
发呆的程序猿
05-16 4万+
一、概念PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStateme
Statement 和 PreparedStatement之间的关系和区别
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
Java数据库JDBC——prepareStatement的用法和解释
热门推荐
nnzhuilian的博客
01-10 13万+
转自:http://blog.csdn.net/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
java中PreparedStatementStatement详细讲解
程宇寒
03-05 13万+
大家都知道PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,那么大家知道为什么PreparedStatement对象可以防止sql注入 ...
【MyBatis 6,springcloud从入门到精通教程
m0_61439678的博客
09-06 250
(1)ResultSet getResultSet() 以 ResultSet 对象的形式获取当前结果 (2)int getUpdateCount() 以更新计数的形式获取当前结果;如果结果为 ResultSet 对象或没有更多结果,则返回 -1 (3)boolean getMoreResults() 移动到此 Statement 对象的下一个结果,如果其为 ResultSet 对象,则返回 true,并隐式关闭利用方法 getResultSet 获取的所有当前 ResultSet 对象 (4)boolea
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 3376
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement区别:1. preparedStatement可以写动态参数化的查询。
java之preparestatement详细介绍
05-09 1万+
传送给数据库的 SQL 语句通过一个包含两个步骤的过程来返回结果。首先准备它们,然后处理它们。借助 Statement 对象,这两个阶段对应用程序而言变成一个阶段。PreparedStatement 允许将这两个步骤分开。准备步骤在创建对象时发生,而处理步骤在对 PreparedStatement 对象调用 executeQuery、executeUpdate 或 execute 方法时发生。
java数据库连接PrepareStatement
01-12
java数据库连接PrepareStatement
Java使用表格显示查询结果.rar
07-10
  PreparedStatement ps=con.prepareStatement(sqlStr); //获取PreparedStatement对象   ResultSet rs=ps.executeQuery(); //执行查询   String name,sex,email; //查询结果   int age;   int count=0;  ...
Java数据库连接(JDBC)之二:Statement对象和PreparedStatement对象的使用
tuke_tuke的博客
07-18 2240
1,Statement对象是Java 执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句。 Statement 对象用于将 SQL 语句发送到数据库中。实际上有三种 Statement 对象,它们都作为在给定连接上执行SQL语句的包容器: Statement 对象用于执行不带参数的简单S
java PrepareStatement
l2636908832iu的博客
09-01 1476
PrepareStatement Statement 对同一个sql语句charrette不同值 需要重新发送一条sql语句 sql注入 select username,password from emp where username='admin' and password ='123'or 1=1; insert into emp values(?,?,?); 接口 PrepareStatement 表示预编译的 SQL 语句的对象。 SQL 语句被预编译并存储在 Prepare...
理解 Statement 和 PreparedStatement
dayou7738的博客
04-07 154
java,servlet中的PreparedStatement 接口继承了Statement,并与之在两方面有所不同:有人主张,在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement。 1、PreparedStatement接口继承Statement,PreparedSt...
java连接数据库的Connection中的prepareStatement与createStatement区别
ilaveyou68的专栏
04-23 4251
这两者的区别主要在于如何构造执行sql语句的对象, 1,对于prepareStatement来说,其执行返回的是一个prepareStatement对象,而这个方法的描述是这样的,prepareStatement(String sql)创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。它需要一个参数,这个参数就是需要执行的sql语句。而createSt
JDBC中prepareStatement 与createStatement 区别
漫游学海之旅
07-07 4857
简单来说,prepareStatement 提供预编译SQL语句,可以用"?" 来替换需要改变的参数值,类似于正则化 SQL查询语句。 createStatement则不提供预编译SQL,需要实时executeQuery(sqlStr) 来访问数据库。 因此,prepareStatement可以多次使用,提高访问数据库的效率。 具体可以参考:http://blog.csdn
JAVA-JDBC之prepareStatementstatement区别
qq_50616415的博客
08-07 247
statement是字符串替换方式的,他会产生sql注入,比如输入query(”‘skd“,”+wwe“)这样的形式就会匹配到’‘两个’会造成sql语句错误。prepareStatement 是预编译方式的创建对象时就会传递sql,可以很好的防止sql注入,可以理解为在sql内部进行替换。
node-v6.3.1-linux-ppc64.tar.xz
最新发布
05-10
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
statement和prepareStatement区别
07-13
statement和preparestatement都是Java中用于执行SQL语句的接口,但是它们有一些区别statement是一种简单的接口,它可以执行静态的SQL语句,但是不能执行动态的SQL语句。当我们需要执行一条SQL语句时,我们需要将SQL语句作为字符串传递给statement对象,然后调用execute()方法来执行它。 preparestatement是一种更高级的接口,它可以执行动态的SQL语句。当我们需要执行一条动态的SQL语句时,我们可以使用preparestatement对象来预编译SQL语句,然后使用参数来填充SQL语句中的占位符。这种方式可以提高SQL语句的执行效率,并且可以避免SQL注入攻击。 总的来说,preparestatementstatement更加灵活和安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值