PreparedStatement的用法及与statement的对比

最新推荐文章于 2023-05-09 15:00:42 发布
最新推荐文章于 2023-05-09 15:00:42 发布
阅读量647 收藏
点赞数
文章标签: 数据库 sql 优化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cz082390/article/details/6980556
版权

PreparedStatement是继承statement,一个preparedstatement是从java.sql.connection的sql语句中得到的,其中包含很多问号(?),代表变量的位置及变量的值,最后执行sql语句。

EgString sql="select * from student s where s.name=? and age=? and image=?"

PreparedStatement ps= connection.preparedStartement(sql);

ps.setInt(1,"张三")

ps.setInt(2,"21");

ps.setBinaryStream(3, inpurStream,fileName.size());

Resultset rs=ps.executequery();

当传入的是文件数据的时候调用该方法

Void setBinaryStream(int parameterIndex,InputStream x,int length);

使用preparedStatement的主要优点:

1.preparedStatement是实现的是预编译的,可以大大的提高效率。

数据库会对每一次执行的语句进行预编译,达到优化,因为预编译的语句可能被重复调用,所以语句被执行后就会被缓存下来,而Statement的语句中,每次传入的数据不一样,所以,数据库很难实现直接执行预编译的语句,比如intsert into studentsnameagevalues"张三"21;而用preparedStatement则可以利用问号代表的不同的数据,实现执行预编译。

2.提高代码的可读性和可维护性

3.提高代码的安全性

preparedStatement是怎么样提高代码的安全性呢?举个一个简单的例子

String sql ="select * from s_name where name=' "+varname+" ' and password=' " +pwd+" '";

这是一个通过验证访问表的数据库语句,但是如果传入的password数据是[ ' or  '1'= ' 1 ] 则会出现什么效果

Sql="select * from s_name where name='任意' and pwd=' ' or '1' = '1' ";  可以不通过验证 任意访问。

一次preparedStatement可以提高代码的安全性。

cz082390
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JDBC--利用preparedstatement实现select查询
weixin_45063957的博客
05-22 1677
查询的方法实现--对确定的表 public static void selectdemo() throws Exception { //1、获取连接 Connection conn = connection(); //2、预编译sql语句 String sql = "select id,name,email,birth from customers where id = ?"; PreparedStatement pre
Statement的使用
liu_xiao_long的博客
12-19 523
1.创建statement对象 Statement stmt = con.createStatement() 同时为了执行Statement,把sql语句作为stmt的参数 2.使用statement对象执行语句的方法 statement提供了这三种执行方法:executeQuery,executeUpdate,execute。选择使用不同的方法是根据执行的内容来决定。 execu...
三种statement用法
xiao_jun_0820的专栏
01-11 2313
Statement 主要用来执行查询操作executeQuery,不引入事务操作 PrepareStatement主要用来执行增删改操作executeUpdate,引入事务的操作 CallableStatement用来执行存储过程 CallableStatement cs = conn.prepareCall("{call procname}"); ResultSet rs = cs.ex
JDBC(PreparedStatement)--Select List Record
鬼剑愁的专栏
04-08 549
JDBC(PreparedStatement)--Select List Record
PreparedStatement缺陷之执行顺序混乱
tigers
11-28 661
       PreparedStatement虽然有种种好处,最大的特点是SQL语句的数据库无关性,也就是不需要特定得指定具体数据库SQL,比如比较Timestamp类型的字段,如果用Statement全拼SQL的话,必须得带上TIMESTAMP('YYYY-MM-DD 00:00:00.0') (DB2的) 或者TIMESTAMP('YYYY-MM-DD 00:00:00.0', 'YYYY...
Pr_St_insert.rar_statement
09-22
对比PreparedStatement,上述过程中的步骤4将会有所不同,因为我们需要先创建预编译的SQL语句,然后逐个设置参数。例如: ```java String sql = "INSERT INTO table_name (column1, column2) VALUES (?, ?)"; ...
mysql,jdbc详解,与ibatis对比。批量查询,分页处理。
12-29
### MySQL、JDBC详解及与iBatis对比 #### 一、MySQL基本操作 MySQL作为一款广泛使用的开源关系型数据库管理系统,在IT行业中占有极其重要的地位。对于开发人员来说,掌握MySQL的基本操作至关重要。 ##### 1. 增删...
传智播客JDBC_所有源码与ppt
02-19
3. **Statement与PreparedStatement**:对比两种执行SQL语句的方式,Statement用于执行静态SQL,而PreparedStatement支持预编译,更安全,防止SQL注入。 4. **结果集处理**:如何使用ResultSet对象遍历查询结果,...
Java_JDBC编程总结.pdf
09-30
- **创建Statement或PreparedStatement**:通过`Connection`对象的`createStatement()`或`prepareStatement()`方法创建`Statement`或`PreparedStatement`对象,前者用于执行静态SQL,后者用于执行带有参数的动态SQL...
基于Java数据库互连技术的登录界面设计与实现.zip
10-16
1. 使用完数据库连接后,必须关闭ResultSet、Statement及Connection,避免资源泄漏。推荐使用try-with-resources语句,确保资源自动关闭。 七、安全性与优化 1. 密码加密:在存储和比较密码时,应先进行哈希或加密...
一天一个java知识(preparedStatementStatement的区别)
AAAhxz的博客
11-19 222
老早之前用servlet开发时,就遇到过preparedStatementStatement当时还傻傻分不清楚,问学长这两个是什么,有什么区别,当时学长就回答了一句咱们用preparedStatement,不用后者,后者太古老,今天重新温习一下: 1,首先是效率:预编译会话比普通会话对象,数据库系统不会对相同的sql语句不会再次编译,preparedStatement是经过预编译的,也叫JDBC...
数据库系列- JDBC 的三种 Statement 是什么?它们有什么区别?
最新发布
Dakaring的专栏
05-09 1974
参数化的 SQL 语句可以让数据库区分哪些是数据,哪些是命令,从而避免被恶意篡改。上面的代码创建了一个 PreparedStatement 对象,然后调用了 setString 方法,为第一个参数赋值为 “Tom”,然后调用了 executeQuery 方法,执行预编译的 SQL 语句,返回了一个 ResultSet 对象。上面的代码创建了一个 Statement 对象,然后调用了 executeQuery 方法,传入了一个 SQL 查询语句,返回了一个 ResultSet 对象,表示查询结果集。
使用PreparedStatement实现查询操作系列一-----用户登录操作
青松之竹_Java博客
10-04 1万+
使用PreparedStatement实现查询操作系列一-----用户登录操作
statement语句操作
听听丶的博客
08-15 3809
/*Statement中有4个执行方法可用 * 1, executeQuery() : 只能执行查询语句 * 2, executeUpdate(): 只能增、删、改, 不能执行查询语句 * 3, execute(): 增、删、改、查的语句都能够执行。只是查询时返回的结果是告诉成功与否,如果要获取查询结果,得另外用" st.getResultSet()"获取 * 4, execute
Java数据库JDBC——prepareStatement用法和解释
热门推荐
nnzhuilian的博客
01-10 14万+
转自:http://blog.csdn.net/QH_JAVA/article/details/48245945 一、prepareStatement用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
Java.sql的接口PreparedStatement使用
青青青的博客
05-09 3万+
自学java,学到数据库这一节了,涉及到JDBC开发,对于PreparedStatement的使用有一点不理解,在查看了一些大牛的文章,自己也尝试着把自己理解的内容写一下,就当给自己做个备注吧,有错误的还请指正,谢谢。谈到PreparedStatement的使用,就得先了解以下它和Statement得区别和联系。查看JDK API不难得知,PreparedStatement接口是继承自Statem...
Statement和Expression的用法
qingmuluoyang的博客
07-18 4731
简单的描叙:       1.Statement 对象表示基本语句,其中将单个方法应用于某一目标和一组参数,以返回结果,比如 "a.setFoo(b)"。注意,此示例使用名称来指示目标及其参数,statement 对象不需要名称空间,可以使用值本身构造。statement 对象将指定方法与其环境相关联,作为值的简单集合:目标和参数值数组                       2.Ex
Java中使用Statement接口SQL语句
MT2048的博客
07-02 8202
Statement执行SQL语句: 1. 对数据库的曾删改操作时,使用stmt.executeUpdate(sql  执行给定 SQL 语句,分别为 insert 、update、delete. 2. 对数据库做查询时,直接使用 stmt.executeQuery(sql),返回结果可以为一个resultSet结果集。 首先做一些准备工作: ①对要进行操作的数据
三个Statement区别,用法
dief913975849的专栏
09-21 2545
statement对象作为最基本的数据操作对象,可以应用于几乎所有的数据库,但是由于运行时使用的是字符串连接技术,所以存在安全隐患。 preparedstatement:叫做预编译的对象,在语句执行之前,向数据库发送类似于公式一样的模板,其中使用了替换变量,从而提高了数据存储的
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值