Statement和PreparedStatement的区别

最新推荐文章于 2024-07-27 14:38:28 发布
最新推荐文章于 2024-07-27 14:38:28 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: Java学习 文章标签: PreparedStatement Statement 防止SQL注入 占位符
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caidie_huang/article/details/52639062
版权

1).PreparedStatement 代码的可读性和可维护性. (SQL模板,使用占位符表示参数)

String sql = "select * from t_student where name = ? ";
		//连接数据库
		Connection conn = DBUtils.getConnection();
		//创建语句对象
		PreparedStatement ps = conn.prepareStatement(sql);
		//为第一个占位符(?)设置值
		ps.setString(1, "小花");
		
		ResultSet result = ps.executeQuery();
		if(!result.next()){
			throw new RuntimeException("账号或密码错误");
		}
		System.out.println("登录成功");
		
	}

2).PreparedStatement 能最大可能提高性能. MySQL不支持.

当应用程序从数据库中存取数据时,需要传入sql语句,这时候数据库需要对sql语句做一系列的操作才能返回结果,这个过程也挺复杂的:

01.检查缓存中是否存在sql

02.检查sql的完整性

03.检查sql的安全性

04.编译sql语句

05.返回结果

若是从数据库中查询数据,使用Statement,查询不同id的数据,在缓存中就是不同的sql语句,若是查询大量的数据,这种方式就会很慢,若是使用PreparedStatement ,即使是查询不同id的数据,在缓存中也只存在一条sql语句,大大提高了查询效率。

 

3).PreparedStatement 能保证安全性.可以防止SQL注入:

Statement语句对象若是执行String sql = "select * from t_student where name = admin and password ='' or 1=1 or ''"; SQL语句,它会将or 1=1 or ''看成一个or条件,1=1 条件是恒为true的,也就是说,不管前面的条件如何,整体条件都为true,因此如果用Statement语句类去写登录条件,只要有人在账号或密码那里填 or 1=1 ,都能进入系统。

PreparedStatement 的话就不一样,它会将整个 or 1=1 or '' 看成password的值,你输入的密码跟实际密码不符合,就不能进入系统。



caidie_huang
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Statement 和 PreparedStatement区别
Lyuweigh的博客
07-24 579
首先看一下他们倆的创建方式 { Connection connection = InitJdbcConnection.getConnection(); try { Statement statement = connection.createStatement(); PreparedStatement preparedStatement = connection.prepareStatement("xxx");
Statement和PreparedStatement区别及联系
weixin_52629592的博客
05-26 1113
两者之间的联系: Statement和PreparedStatement两者都是用来执行SQL查询语句的API之一 PreparedStatement接口继承了Statement接口 两者之间的区别: Statement不对SQL语句做处理,直接交给数据库;而PreparedStatement是支持预编译的,会将编译好的SQL语句放在数据库端,相当于缓存.对于多次重复执行的SQL语句,使用PreparedStatement可以使得代码的执行效率更高 ..
Statement 和 PreparedStatement 详解
最新发布
yjp1240201821的博客
07-27 499
本节主要讲解Statement和preparedStatement,从其相关的定义,优缺点和区别等等帮助理解。
Statement和PrepareStatement有什么区别
chenling_ling的专栏
08-11 585
Statement用于执行静态sql语句,在执行时,必须指定一个事先准备好的sql语句。 PrepareStatement是预编译的sql语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句中可以包含动态参数“?”,在执行时可以为“?”动态设置参数值。 使用PrepareStatement对象执行sql时,sql被数据库进行解析和编译,然后被放到命令缓冲区,每当执
Statement 和 PreparedStatement之间的关系和区别
haqiu8833的博客
10-24 731
Statement 和 PreparedStatement之间的关系和区别: 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,动态sql操作, 批处理PreparedStatementStatement效率高,Statement适用于执行多条不同的sql...
简述statement 和preparestatment区别以及关于重复使用preparestatmentstatement的理解
zeng6325998的博客
08-15 1952
前言 statement 和 PreparedStatement 均为接口,可以用他们来执行sql,但是他们还是有细微的差别。 1、执行sql的样式不同 Statement Statement执行的是静态的sql对象 PreparedStatement PreparedStatement既可以执行静态的sql对象,可以往里面出入参数。(这块注意: 参数类型不能错 比如int值就传入int) 样例如下,不多解释 Connection connection = DriverManager.g
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别 Statement和PreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
写出jdbc中Statement和PreparedStatement区别?
06-01
在JDBC中,Statement和PreparedStatement都是执行SQL语句的接口,但是它们之间有以下几个区别: 1. 预编译:PreparedStatement在执行前会先进行编译,这意味着它可以重复执行,而不需要每次都编译一遍,因此可以...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
Statement和 PreparedStatement区别
06-02
Statement和PreparedStatement都是Java中用来执行SQL语句的接口,它们的主要区别如下: 1. 预编译:PreparedStatement在执行前会先进行预编译,而Statement则是在执行时编译。预编译可以提高执行效率,尤其是需要...
preparedStatementStatement区别及联系
一枚数学专业的小码农的博客
08-31 7256
JDBC中preparedstatementstatement中的区别
PreparedStatementStatement区别
m0_60418397的博客
08-11 6648
PreparedStatementStatement区别: 1.PreparedStatement在使用时只需要编译一次,就可以运行多次,Statement每运行一次就编译一次,所以PreparedStatement的效率更高 2.PreparedStatement需要的sql语句为用?(占位符)来替换值,Statement所需要的sql语句为字符串拼接 3.PreparedStatement解决了sql注入的问题,Statement没有解决,因为PreparedStat.
PrepareStatementstatement,有什么区别,preparedStatement有哪些优点?
此生不换的博客
04-25 5708
(1)Statement是PreparedStatement的父类,作为 Statement 的子类,       PreparedStatement 继承了 Statement 的所有功能。  (2)PrepareStatementstatement的sql语句放置位置不同 Statemen st=conn.CreateStatement(); resultSet rs=st.exec
PrepareStatementStatement区别
weixin_42976232的博客
05-13 8457
PrepareStatement:对SQL进行预编译,在数据库中形成“执行计划”,可以对SQL语句中的“变量参数“进行修改,这样可以减少数据库不必要的反复创建“执行计划”, package dbcpool; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.SQLException; ...
PrepareStatementStatement之间的区别
luckykapok918的专栏
12-10 407
①PrepareStatement是预编译,对于批量处理可以大大提高运行效率。 ②如果说所使用的SQL语句是一次性的话,那么使用Statement较好,因为,这样的话使用PrepareStatement并不会产生太大的效果,相反,可能还会在性能方面劣于Statement,毕竟PrepareStatement对象开销比Statement较大。 ③Statement每次执行SQL语句,相关数据库都
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值