PreparedStatement与Statement

最新推荐文章于 2022-08-31 19:46:07 发布
最新推荐文章于 2022-08-31 19:46:07 发布
阅读量253 收藏
点赞数
分类专栏: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_34606293/article/details/70670263
版权

关系:

  1. PreparedStatement 接口继承 Statement , PreparedStatement 实例包含已编译的SQL 语句,所以其执行速度要快于 Statement 对象。
  2. 作为 Statement 的子类,PreparedStatement 继承了 Statement 的所有功能。三种方法execute 、 executeQuery 和 executeUpdate 已被更改以使之不再需要参数
  3. 在 JDBC 应用中 , 如果你已经是稍有水平开发者 , 你就应该始终以 PreparedStatement 代替Statement.也就是说 , 在任何时候都不要使用 Statement.

基于以下的原因 :

一 . 代码的可读性和可维护性 .
虽然用 PreparedStatement 来代替 Statement 会使代码多出几行 , 但这样的代码无论从可读性还是可维护性上来说 . 都比直接用 Statement 的代码高很多档次 :

stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");//stmt 是 Statement 对象实例

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate(); //prestmt 是 PreparedStatement 对象实例

不用我多说 , 对于第一种方法 . 别说其他人去读你的代码 , 就是你自己过一段时间再去读 , 都会觉得伤心 .

二、PreparedStatement 尽最大可能提高性能 .
语句在被 DB 的编译器编译后的执行代码被缓存下来 , 那么下次调用时只要是相同的预编译语句就不需要编译 , 只要将参数直接传入编译过的语句执行代码中 ( 相当于一个涵数 ) 就会得到执行 . 这并不是说只有一个 Connection 中多次执行的预编译语句被缓存 , 而是对于整个 DB 中 , 只要预编译的语句语法和缓存中匹配 . 那么在任何时候就可以不需要再次编译而可以直接执行 . 而 statement 的语句中 , 即使是相同一操作 , 而由于每次操作的数据不同所以使整个语句相匹配的机会极小 , 几乎不太可能匹配 . 比如 :

insert into tb_name (col1,col2) values ('11','22');
insert into tb_name (col1,col2) values ('11','23');

即使是相同操作但因为数据内容不一样 , 所以整个个语句本身不能匹配 , 没有缓存语句的意义 . 事实是没有数据库会对普通语句编译后的执行代码缓存 .

当然并不是所以预编译语句都一定会被缓存 , 数据库本身会用一种策略 , 比如使用频度等因素来决定什么时候不再缓存已有的预编译结果 . 以保存有更多的空间存储新的预编译语句 .

三 . 最重要的一点是极大地提高了安全性 .

即使到目前为止 , 仍有一些人连基本的恶义 SQL 语法都不知道 .

String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";

如果我们把 [’ or ‘1’ = ‘1] 作为 varpasswd 传入进来 . 用户名随意 , 看看会成为什么 ?

select * from tb_name = ’ 随意 ’ and passwd = ” or ‘1’ = ‘1’;
因为 ‘1’=’1’ 肯定成立 , 所以可以任何通过验证 . 更有甚者 :
把 [‘;drop table tb_name;] 作为 varpasswd 传入进来 , 则 :
select * from tb_name = ’ 随意 ’ and passwd = ”;drop table tb_name; 有些数据库是不会让你成功的 , 但也有很多数据库就可以使这些语句得到执行 .

    而如果你使用预编译语句 . 你传入的任何内容就不会和原来的语句发生任何匹配的关系 . 只要全使用预编译语句 , 你就用不着对传入的数据做任何过虑 . 而如果使用普通的 statement, 有可能要对 drop,; 等做费尽心机的判断和过虑 .
minGW_Lee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MySql MyEclipse 中PreparedStatement接口继承Statement,主要是PreparedStatement
qq_28316183的博客
09-08 947
PreparedStatement接口继承Statement,并与之在两方面有所不同: PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个问号的值
PreparedStatementStatement
03-22
NULL 博文链接:https://stevenjohn.iteye.com/blog/968877
Java中PreparedStatementStatement的用法区别
shakawjh的专栏
06-30 416
1、 PreparedStatement接口继承Statement, PreparedStatement 实例包含已编译的 SQL 语句,所以其执行速度要快于 Statement 对象。 2、作为 Statement 的子类,PreparedStatement 继承Statement 的所有功能。三种方法       execute、 executeQuery 和 executeUpdat
Statement 和 PreparedStatement之间的关系和区别
热门推荐
suwu150
10-06 6万+
关系:PreparedStatement继承Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
preparedStatementStatement区别及联系
一枚数学专业的小码农的博客
08-31 6980
JDBC中preparedstatementstatement中的区别
java中PreparedStatementStatement详细讲解
08-25
主要介绍了java中PreparedStatementStatement详细讲解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解Java的JDBC中Statement与PreparedStatement对象
09-03
主要介绍了详解Java的JDBC中Statement与PreparedStatement对象,PreparedStatement一般来说比使用Statement效率更高,需要的朋友可以参考下
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别 Statement和PreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
34.jdbc中preparedStatementStatement的好处.avi
03-07
jdbc中preparedStatementStatement的好处
Statement 和 PreparedStatement总结
钟渊博客
08-26 3099
一、Statement Statement 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句。 用于执行静态 SQL 语句并返回它所生成结果的对象。 在默认情况下,同一时间每个 Statement 对象在只能打开一个 ResultSet 对象。因此,如果读取一个 Resu
关于PreparedStatementStatement
迷路剑客个人博客
10-30 951
关于PreparedStatementStatement 0x01 不同 看了一些网上的博客,主要结论有以下三点: Statement PreparedStatement 可读性 差,需要拼接字符串 高,可单独设置每个变量 预编译 普通sql无预编译 可配置开启预编译 安全性 差,可能被sql注入到拼接字段 强,sql提前预编译,传入的参数中的字符串,如果有特殊字符会被...
Statement和preparedstatement有什么区别?
浪丶荡
07-06 4623
后者的效率比前者高在使用preparedStatement对象执行sql时候命令被数据库编译和解析,然后被放到命令缓冲区,然后每当执行同一个preparedStatement时候,他就被再解析一次,但不会在编译,在缓冲区中可以发现预编译的命令,并且可以重新使用。 如果你要写Insert update delete 最好使用preparedStatemen在有大量用户的企业级应用软件中,经常会执行相同
Statement和PreparedStatement的区别
不羁朔风的博客
11-05 1万+
Statement执行不带参数的简单SQL语句,并返回它所生成结果的对象,每次执行SQL语句时,数据库都要编译该sql语句 PreparedStatement用来执行带参数的预编译的SQL语句 PreparedStatement的优点: ①效率高. 使用PreparedStatement执行SQL命令时,命令会被数据库编译和解析,并放到命令缓冲区.以后每当执行同一个PreparedStat...
sasasasasasasasas
06-05
sasasasasasasasas
VBA按模板生成表格.xlsm
06-05
VBA按模板生成表格.xlsm
QRBiTCN双向时间卷积神经网络分位数回归区间预测(Matlab完整源码和数据)
最新发布
06-05
1.Matlab实现QRBiTCN双向时间卷积神经网络分位数回归区间预测 2.包括点预测+概率预测曲线,MatlabR2023a及以上版本运行!评价指标包括R2、MAE、RMSE、MAPE、区间覆盖率picp、区间平均宽度百分比pinaw等。 3.直接替换Excel数据即可用,注释清晰,适合新手小白,直接运行main文件一键出图。 4.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 5.适用对象:大学生课程设计、期末大作业和毕业设计。 6.作者介绍:某大厂资深算法工程师,从事Matlab、Python算法仿真工作8年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。
preparedstatementstatement
03-16
PreparedStatementStatement都是Java中用于执行SQL语句的接口。 Statement是最基本的接口,用于执行静态SQL语句。它的执行方式是将SQL语句发送给数据库,由数据库解析和执行。Statement存在SQL注入的风险,因为它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值