java中的Statement与PreparedStatement的比较

最新推荐文章于 2021-02-24 11:29:26 发布
最新推荐文章于 2021-02-24 11:29:26 发布
阅读量693 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/comphter/article/details/9025229
版权

一.代码的可读性和可维护性


 主要体现在sql语句的拼接上。特别是当一个sql语句存在一个表的多个属性值或者嵌套查询时,使用字符串的拼接将会让人非常厌恶,可阅读性与可维护性急剧下降

 如下代码:
String selectdistid = "select depb_ID from districtEPB where DistrictID= (select DistrictID from district where DistrictName=\"" + user.getSelect3() + "\" and CityID=(select CityID from city where CityName=\"" + user.getSelect2() + "\"and provinceID=(select provinceID from province where provinceName=\"" + user.getSelect1() + "\")));";


 二.性能问题


实际上,JDBC只是给出了程序的接口,性能的问题依然在某种程度上依赖于某种数据库的具体实现过程,并且还要考虑相关的应用领域背景。就理论上而言,PreparedStatement较之于Statement是存在整体上性能优势的,而对於单次的动态构造的sql的执行效率而言,PreparedStatement的耗费会比Statement大。但是考虑实际情况,两者的性能上优势差距并不具有天壤之别的。诚然, PreparedStatement会有后续缓存优化查询的好处,但是网络请求成本的增加有可能 大于这个好处 。 90% 的可能性是若App Server 与 DB Server分布部署,网络请求成本的增加大于后续优化执行带来的好处。另外,还要指出的是,不仅如此,实际上Statement的执行,不一定是没有缓存的,而恰恰相反, 现在大多数的数据库软件的查询分析模块,会透明的在第一次执行 像insert into tb_name (col1,col2) values ('11','22') 这样的sql简单语句时将其转化为 insert into tb_name (col1,col2) values (?,?), 为后面重复执行缓存优化。 当然不同的数据库实现的策略是不同的。
 

 三.安全性


PreparedStatement可以轻松做到防止SQL注入。所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道.
         String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我们把[' or '1' = '1]作为varpasswd传入进来.用户名随意,看看会成为什么?
         select * from tb_name = '随意' and passwd = '' or '1' = '1';
 因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者: 把[';drop table tb_name;]作为varpasswd传入进来,则:

     select * from tb_name = '随意' and passwd = '';drop table tb_name;

有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.  而如果你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.只要全使用预编译语句,你就用不着对传入的数据做任何过虑.而如果使用普通的statement,有可能要对drop,;等做费尽心机的判断和过虑.



四、总结


1,对于存储大型的对象诸如BLOB,CBLOB之类使用PreparedStatement还是比较节省资源的。
2,进行批量处理的时候,建议使用PreparedStatement


参考:
1,Top Ten Oracle JDBC Tips  http://www.onjava.com/pub/a/onjava/2001/12/19/oraclejdbc.html?page=1
2,Java Programming with Oracle JDBC  http://oreilly.com/catalog/jorajdbc/chapter/ch19.html
3,SQL注入  http://www.cnblogs.com/sunnyfriday/archive/2012/10/29/javasql.html

CMSE
关注
Java PreparedStatementStatement
Outengteng的博客
08-24 381
Statement 什么是StatementStatementjava执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。 具体步骤:①首先导入java.sql.*;这个包。②然后加载驱动,创建连接,得到Connection接口的的实现对象,比如对象名叫做conn。③然后再用conn对象去创建Statement的实例,方法是:Statement stmt = conn.creatStatement(“SQL语句字符串”); Statement 对象用于将
Statement 和 PreparedStatement比较
flying_hengfei的博客
10-16 290
        在使用jdbc进行两节数据库时,会用到 Statement 和 PreparedStatement两个不同的对象进行执行sql语句的步骤,不过两个对象之间有着相同和不同点,一起来看看吧 相同点         1、首先要说的...
javaweb笔记】4、JDBC原理,Statement与PreparedStatement的区别
瓦刀
03-24 210
1.JDBC:Java DataBase Connectivity 可以为多种关系型数据库DBMS 提供统一的访问方式,用Java来操作数据库 2.JDBC API 主要功能: 三件事,具体是通过以下类/接口实现: DriverManager : 管理jdbc驱动 Connection: 连接(通过DriverManager产生) Statement(PreparedStatement...
Java - Statement和PreparedStatement有什么区别?哪个性能更好?
了解➔熟悉➔掌握➔精通
03-16 3万+
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍来!请点击http://www.captainbed.net 与Statement相比,①PreparedStatement接口代表预编译的语句,它主要的优势在于可以减少SQL的编译错误并增加SQL的安全性(减少SQL注入攻击的可能性);②PreparedStatement的SQL语句是可以带参数的,避免了...
Java-JDBC使用预编译STATEMENT 以及它的优点
果果要努力了
01-30 396
JDBC使用预编译STATEMENT 以及它的优点PreparedStatementPreparedStatement优点优点一:代码的可读性和可维护性优点二:尽最大可能提高性能优点三:防止SQL注入式攻击 PreparedStatementStatement一样,PreparedStatement也是用来执行sql语句的 与创建Statement不同的是,需要根据sql语句创建PreparedStatement 除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼
jdbc statement与preparedstatement区别
weixin_41050494的博客
01-13 136
preparedstatement好处 1.不用字符串拼接 2.防止SQL注入 package lesson29; import java.sql.*; public class TestJDBC3 { public static void main(String[] args) throws ClassNotFoundException, SQLException { //1.加载...
javaJDBC当PreparedStatementStatement的效率比较
mark_to_win的专栏
04-19 1487
2.PreparedStatementStatement的效率比较马克-to-win:前面介绍的Statement接口提供了执行sql语句和获取结果的基本方法。注 意对于有种情况,即,需要反复执行相同的sql语句时,Sun公司就为我们提供了另外一种对象:PreparedStatement。它翻译过来就是: “准备好的Statement”。用它的好处就是:当数据库见到PreparedStateme...
详解Java的JDBCStatement与PreparedStatement对象
09-03
Java的JDBC(Java Database Connectivity),与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
Java JDBCStatement和PreparedStatement
伏虎游侠的博客
05-04 3657
以Oracle为例吧 Statement为一条Sql语句生成执行计划, 如果要执行两条sql语句 select colume from table where colume=1; select colume from table where colume=2; 会生成两个执行计划 一千个查询就生成一千个执行计划! PreparedStatement用于使用绑定变量重用执行计划
java调用sql数据库_java调用SQL Server数据库 Statement和PreparedStatement
weixin_35977449的博客
02-24 816
我们知道,数据的存储使用数据库是最方便的,一来不随程序的关闭而关闭,永久性存储。二来处理方便,以对象的思想来说,数据库的表格就是一个类,表每一行都是一个对象,表的属性就是类的属性。数据库的存在使得每一个对象都能轻易保存,删除和修改,只需要调用一个sql语句即可。同时,表与表的之间的关系在java该如何表示,存在一对一与一对多。一对一的比较方便,一对多则需要采用特殊的数据结构。下面先描述一下,...
JavaWeb实战开发
05-01
本课程详细讲解了以下内容:    1.jsp环境搭建及入门、虚拟路径和虚拟主机、JSP执行流程    2.使用Eclipse快速开发JSP、编码问题、JSP页面元素以及request对象、使用request对象实现注册示例    3.请求方式的编码问题、response、请求转发和重定向、cookie、session执行机制、session共享问题     4.session与cookie问题及application、cookie补充说明及四种范围对象作用域     5.JDBC原理及使用Statement访问数据库、使用JDBC切换数据库以及PreparedStatement的使用、Statement与PreparedStatement的区别     6.JDBC调用存储过程和存储函数、JDBC处理大文本CLOB及二进制BLOB类型数据     7.JSP访问数据库、JavaBean(封装数据和封装业务逻辑)     8.MVC模式与Servlet执行流程、Servlet25与Servlet30的使用、ServletAPI详解与源码分析     9.MVC案例、三层架构详解、乱码问题以及三层代码流程解析、完善Service和Dao、完善View、优化用户体验、优化三层(加入接口和DBUtil)    1 0.Web调试及bug修复、分页SQL(Oracle、MySQL、SQLSERVER)     11.分页业务逻辑层和数据访问层Service、Dao、分页表示层Jsp、Servlet     12.文件上传及注意问题、控制文件上传类型和大小、下载、各浏览器下载乱码问题     13.EL表达式语法、点操作符和括号操作符、EL运算、隐式对象、JSTL基础及set、out、remove     14.过滤器、过滤器通配符、过滤器链、监听器     15.session绑定解绑、钝化活化     16.以及Ajax的各种应用     17. Idea环境下的Java Web开发
Java--Statement和PrepareStatement的区别
MinggeQingchun的博客
10-26 964
一、语法 两者的语法区别 Statement语法 Statement stmt = connect.createStatement(); String sql= "SELECT * FROM cg_user WHERE userId=10086 AND name LIKE 'xiaoming'"; ResultSet rs = stmt.executeUpdate(sql); PrepareStatement PreparedStatement preparedStatement = conne
Statement 和 PreparedStatement之间的关系和区别
热门推荐
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
JDBCStatement和PreparedStatement的区别
try_and_do的博客
04-27 929
以Oracle为例吧Statement为一条Sql语句生成执行计划,如果要执行两条sql语句select colume from table where colume=1;select colume from table where colume=2;会生成两个执行计划一千个查询就生成一千个执行计划!PreparedStatement用于使用绑定变量重用执行计划select colume from...
Statement 和 PreparedStatement总结
钟渊博客
08-26 3122
一、Statement StatementJava 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句。 用于执行静态 SQL 语句并返回它所生成结果的对象。 在默认情况下,同一时间每个 Statement 对象在只能打开一个 ResultSet 对象。因此,如果读取一个 Resu
做笔试题遇到总结Statement和PreparedStatement
Hmq1025的博客
03-14 590
1、PreparedStatement接口继承Statement,PreparedStatement实例包含已编译的SQL语句,所以其执行速度快于Statement对象。 2、PreparedStatementStatement的子类,同样继承Statement所有功能。 三种方法:execute、executeQuery、executeUpdate在PreparedStatemen...
javaStatement 和 PreparedStatement 比较两者区别
最新发布
05-31
JavaStatement和PreparedStatement都是用于执行SQL语句的接口,但是它们有以下区别: 1. SQL注入攻击:使用Statement执行SQL语句时,需要将SQL语句拼接成一个完整的字符串,容易受到SQL注入攻击。而使用PreparedStatement时,可以使用占位符来代替SQL语句的参数,有效避免了SQL注入攻击。 2. 执行效率:使用PreparedStatement执行SQL语句时,数据库会对SQL语句进行预编译,然后将占位符替换成参数,这样可以提高SQL语句的执行效率。而使用Statement执行SQL语句时,每次执行SQL语句都需要将SQL语句进行编译,导致执行效率较低。 3. 可读性和可维护性:使用PreparedStatement时,可以将SQL语句和参数分开进行设置,使得SQL语句更加清晰,易于阅读和维护。而使用Statement时,需要将SQL语句和参数拼接成一个完整的字符串,导致SQL语句难以阅读和维护。 综上所述,使用PreparedStatement比使用Statement更加安全、可靠、高效和易于维护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值