为什么推荐使用PreparedStatement而不是Statement?

最新推荐文章于 2020-07-08 15:03:50 发布
最新推荐文章于 2020-07-08 15:03:50 发布
阅读量1.4k 收藏 3
点赞数
分类专栏: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Racheil/article/details/95240313
版权
在JDBC中,推荐使用PreparedStatement而非Statement,原因包括:提高代码可读性和可维护性,如通过占位符增强SQL语句;预编译特性提升性能,避免重复编译;以及防止SQL注入,确保数据库安全。PreparedStatement通过参数化查询阻止恶意SQL指令执行。
摘要由CSDN通过智能技术生成

在JDBC应用中,有经验的开发者,大多都使用PreparedStatement代替Statement

那么,这是为什么呢?

原因基于以下几点:

1.代码的可读性和可维护性

首先,让我们来看看使用Statement的查询SQL语句,只能采用拼接的方法传入参数

int id = 1;

String name = "rachel";

String sql = "select * from memo_group where id='"+id+"'or name='"+name+"'";
            
Statement statement = connection.createStatement();
           
ResultSet resultSet = statement.executeQuery(sql);

而PreparedStatement可以传入带占位符的SQL语句,提供了补充占位符变量的方法

String sql = "select * from memo_group where id = ? or name= ? ";
            
prepareStatement preStatement &#
最低0.47元/天 解锁文章
Racheil
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数据库连接有哪些方式?数据库Statement和PreparedStatement有什么区别?
question_mark的博客
11-27 711
两道面试题 1. 数据库连接有哪些方式?分别有什么区别 数据库连接Connection Connection接口实现类由数据库提供,获取Connection对象通常有两种方式 1.一种是通过DriverManager(驱动管理类)的静态方法获取 // 加载JDBC驱动程序 Class.forName("com.mysql.jdbc.Driver"); // 创建数据库连接 Connectio...
为什么要始终使用PreparedStatement代替Statement?
HouYing
06-06 1948
在JDBC应用,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.基于以下的原因:一.代码的可读性和可维护性.虽然用PreparedStatement代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:stmt.e
JDBCStatement和PreparedStatement的择弃
分享,卓越
07-20 1427
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement
为什么要尽量使用PreparedStatement代替Statement?
yesjavame
07-07 607
在JDBC应用,如果你已经是稍有水平开发者,你就应该尽量以PreparedStatement代替Statement.也就是说,在绝大多数时候都不要使用Statement.基于以下的原因:一.代码的可读性和可维护性.虽然用PreparedStatement代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:stmt.e...
为什么要始终使用PreparedStatement代替Statement
穷人飞扬的专栏
01-24 1314
在JDBC应用,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.基于以下的原因:一.代码的可读性和可维护性.虽然用PreparedStatement代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:stmt.exe
为什么说尽量使用preparedStatement 代替 statement
Zkun2019的博客
07-08 543
使用statement可能存在sql 注入的风险,下面是测试sql injection 的demo 假设登录的sql是通过字符串拼接出来的,那么我只要在用户名框里填上"'xjbt' or 1=1 -- " 就可以无视判断直接进入系统,因为or 1=1恒成立,"--"将1=1后的语句全部注释,所以肯定能查出数据,当然,现在的网站都会做基本的防sql注入处理,不过出于安全性考虑,带参数的sql都应该用preparedstatement代替statement。 这里用preparedstateme.
Statement和PreparedStatement有什么区别?
最新发布
01-05
Statement在执行之前会将SQL语句编译为可执行的代码,而PreparedStatement在创建时就会进行预编译,可以多次执行,提高了执行效率。 2. PreparedStatement可以使用占位符(?)来代替具体的参数值,这样可以防止SQL...
javaPreparedStatementStatement详细讲解
08-25
因此,在生产环境上,我们应该使用 PreparedStatement 对象来防止 SQL 注入攻击,而不能使用 Statement 对象。 下面是几个示例代码,演示了 PreparedStatement 对象如何防止 SQL 注入攻击: ```java // 例子 1 ...
PreparedStatementStatement
03-22
在Java编程,数据库操作是常见任务之一,而`PreparedStatement`和`Statement`是Java JDBC(Java Database Connectivity)用于执行SQL语句的两种主要接口。它们都是`java.sql`包下的类,用来与数据库进行交互,但...
【jdbc】为什么使用PreparedStatement而不是Statement
winrh的博客
02-21 486
用PreparedStatement的好处: 1. 代码可读性、可维护性 比如不用PreparedStatement时,sql语句是这么写的 Connection conn = getConnection(); String sql = "insert into student values(" +s.getCardId()+",'" +s.getName()+"','" +s.ge...
JDBC为什么要使用PreparedStatement而不是Statement
a coder 的心如止水
07-16 519
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、 PreparedStatement 和 CallableStatement三种方式来执行查询语句,其 Statement 用于通用查 询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatemen
为什么使用preparedStatement
lingtouyang的博客
01-11 545
preparedStatementStatement的优点 PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatem...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值