数据库-PreparedStatement

最新推荐文章于 2023-10-10 11:19:02 发布
最新推荐文章于 2023-10-10 11:19:02 发布
阅读量542 收藏 1
点赞数
分类专栏: 数据库 文章标签: jdbc复用SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nishino_shou/article/details/80054632
版权

数据库的执行类似于Java的编译执行过程。

SQL语句翻译为执行计划,才能执行。

SQL语句完全一样的情况下会重用执行计划。

关于执行计划:

1.任何SQL执行过程都是先编译“执行计划”,再执行“执行计划”

2.数据库为了优化性能,在SQL相同时候,会重用执行计划

        -执行计划编译较慢

        -重用执行计划可以提高数据库性能

3.数据库只在SQL语句完全一样的时候才重用相同的执行计划

        -如果SQL语句中有一个字符的更改,也会执行不同的执行计划

        -SQL中一个空格或者一个大小写不同也会创建不同的执行计划

>PreparedStatement 好处是可以重复使用执行计划,提高DB效率

使用步骤:

1。将带参数的SQL发送到数据库创建执行计划

2。替换执行计划中的参数

3。执行执行计划,得到结果


PreparedStatement原理

-Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。

-Statement每执行一次都要对传入的SQL语句编译一次,效率较差。

-某些情况下,SQL语句只是其中的参数有所不同,其余子句完全相同,适用于PreparStatement

-预防SQL注入攻击

何为注入攻击:

用户输入了含有SQL成分的参数,参数在拼接SQL时造成SQL语句的语义改变!进一步改变SQL语句的执行计划!最终的执行结果就完全改变!

如何避免:

1.拦截用户输入的SQL成分

2.固定执行计划,避免改变执行逻辑

主要是防止statement执行计划时,用户在输入密码是做了sql拼接工作,直接输入成了万能密码。


下面的代码重复执行了同一个执行计划,做到了计划的重用。

插入语句:



查询语句:



更新语句:


Nishino_shou
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java数据库连接PreparedStatement的使用详解
08-29
Java 数据库连接 PreparedStatement 的使用详解 Java 数据库连接 PreparedStatement 是 Java 语言中连接数据库的重要组件之一。通过使用 PreparedStatement,可以实现对数据库的 CRUD(Create, Read, Update, ...
Performance Tips for JDBC
波波熊的专栏
12-11 302
翻译:陈先波(turbochen@163.com) 阅读原文:http://www.theserverside.com/articles/article.tss?l=JDBCPerformance_PartIII 一、使用Statement而不是PreparedStatement对象 JDBC驱动的最佳化是基于使用的是什么功能. 选择PreparedStatement还是Statement取决于...
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4316
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
JDBC】-- PreparedStatement实现数据库查询操作
张修宇的博客
07-21 4121
ORM思想(objectrelationalmapping)1、一个数据表对应一个java类2、表中一条记录对应java类的一个对象3、表中一个字段对应java类的一个属性JDBC结果集的元数据获取列数获取列的别名反射通过反射,创建指定类的对象,获取指定的属性并赋值。...
JAVA【JDBC】【使用PreparedStatement操作数据库
芊樱烛渊的博客
08-07 4802
这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
Statement和PreparedStatement的区别!!!
IT_yanyilong的博客
06-04 284
Statement 和 PreparedStatement之间的关系和区别.1.  Statement只能处理静态SQL; 2.  PreparedStatement既能处理静态sql也能处理动态sql,它继承了Statement的特点 站在预处理角度:          PreparedStatement适合做连续多次结构相同的sql语句,有优势.          Statement适合做连续...
JDBCTM 指南:入门6-PreparedStatement
01-08
6 – PreparedStatement本概述是从《JDBCTM Database Access from JavaTM: A Tutorial and Annotated Reference 》这本书中摘引来的。JavaSoft 目前正在准备这本书。这是一本教程,同时也是 JDBC 的重要参考手册,它...
使用PreparedStatement访问数据库
12-14
在Java的数据库编程中,`PreparedStatement`是Java.sql包下的一个重要接口,它是`Statement`接口的子接口。这个接口主要用于处理包含动态参数的SQL语句,以提高性能和安全性。`PreparedStatement`的主要特点是预编译...
常用数据库-jdbc连接
03-21
CallableStatement用于调用数据库中的存储过程,其方法与PreparedStatement类似,但可以处理OUT参数和返回值。 7. **连接池**: 在实际项目中,为了提高性能和减少资源消耗,通常会使用连接池(如C3P0、HikariCP...
JSP中的PreparedStatement对象操作数据库的使用教程
10-22
为了高效且安全地与数据库进行交互,Java提供了一套成熟的API,其中PreparedStatement对象便是核心组件之一。PreparedStatement继承自Statement接口,但它对数据库操作进行了更高级的封装,提供了预编译语句的能力。...
JDBC快速入门(五)--PreparedStatement用法
weixin_44415928的博客
12-27 316
回顾JDBC快速入门(四)中写的登录案例 会有一个sql注入的问题,如果我的用户名是随便输入的,密码这么输入a' or 'a' == 'a也会登陆成功: 通过打印出sql我们可以发现username = ‘abcdefg’ and password = 'a’是错误的,但是or 后边的‘a’ = 'a’是正确的,所以后边的逻辑就是永真,这样一来,就会查询所有的数据,然后自然会登录成功 用Prep...
PreparedStatement类对SQL注入问题的解决
LOVE_Me__的博客
03-04 791
1.Satement对象每执行一条SQL语句都会先将这条SQL语句发送给数据库编译,数据库再执行。 如果有1万条类似的SQL语句,数据库需要编译1万次,执行1万次,显然效率就低了。 并且statement执行的是静态的sql语句 2.prepareStatement()会先将SQL语句发送给数据库预编译。PreparedStatement会引用着预编译后的结果。可以多次传入不同的参数...
PreparedStatement学习笔记
flatcsun的博客
07-29 97
关于PreparedStatement的优点,在网上主要看到3个优点:    1.代码的可读性和可维护性。    2.尽最大可能提高性能。      PreparedStatement是预编译的,对会被多次执行的相同SQL,只预先对SQL进行编译,每次执行SQL就不用编译SQL了,直接执行预先编译得到的执行计划。PreparedStatement提高效率的关键在于减少了Statement...
SQL Prepare
最新发布
游游的记事本
10-10 736
解释:SQL预处理(Prepare),是一种特殊的 SQL 处理方式;预处理不会直接执行 SQL 语句,而是先将 SQL 语句编译,生成执行计划,然后通过 Execute 命令携带 SQL 参数执行 SQL 语句。本小节,我们将一起学习 SQLPrepare。在生产环境中,我们会多次执行一条 SQL 语句,如果每次都处理该 SQL 语句,生成执行计划,必然会浪费一定的时间。
数据库的PreparedStatement
weixin_63407059的博客
11-14 188
3.PreparedStatement有预编译的功能,每次执行只是去改变参数,提高查询效率。1.PreparedStatementStatement的子接口。2.PreparedStatement防止sql注入。总结基于StatementJDBC编程。
Mybatis基础
a coder
02-27 200
对原生态jdbc程序中问题的总结: (1)数据库连接,使用时就创建,不使用立即释放,对数据库进行频繁连接开启和关闭,造成数据库资源浪费,影响数据库性能。 设想:使用数据库连接池管理数据库连接。 (2)将sql语句硬编码到java代码中,如果sql 语句修改,需要重新编译java代码,不利于系统维护。 设想:将sql语句配置在xml配置文件中,即使sql变化,不需要对java代码进行重新
JDBC连接数据库及PreparedStatement详解
weixin_33901641的博客
09-02 187
直接上代码packagejdbc; importjava.sql.Connection; importjava.sql.DriverManager; importjava.sql.PreparedStatement; importjava.sql.ResultSet; publicclassMyTest{ publicstaticvoidmai...
数据库中关于preparedStatementStatement分析
DemoTransfer
09-26 2234
PreparedStatementStatement
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值