PreparedStatement和Statement的区别

最新推荐文章于 2023-07-12 18:24:38 发布
最新推荐文章于 2023-07-12 18:24:38 发布
阅读量266 收藏
点赞数
分类专栏: javase

1>PreparedStatement用于处理动态SQL语句,在执行前会有一个预编译过程,这个过程是有时间开销的,虽然相对数据库的操作,该时间开销可以忽略不计,但是PreparedStatement的预编译结果会被缓存,下次执行相同的预编译语句时,就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行,所以,对于批量处理可以大大提高效率。

2>Statement每次都会执行SQL语句,相关数据库都要执行SQL语句的编译。

3>作为开发者,应该尽可能以PreparedStatement代替Statement,其原因如下:

(1)代码的可读性和可维护性。从代码比较中就应该能看出来;

复制代码 
stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");//stmt是Statement对象实例

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate(); //prestmt是 PreparedStatement 对象实例
复制代码

(2)PreparedStatement尽最大可能提高性能。

(3)极大的提高了安全性。

恶意SQL语法

String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'"; 
如果我们把[' or '1' = '1]作为varpasswd传入进来.用户名随意,看看会成为什么? 
select * from tb_name = '随意' and passwd = '' or '1' = '1'; 
因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者: 
把[';drop table tb_name;]作为varpasswd传入进来,则: 
select * from tb_name = '随意' and passwd = '';drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行. 
而如果你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.只要全使用预编译语句,你就用不着对传入的数据做任何过虑.而如果使用普通的statement,有可能要对drop,;等做费尽心机的判断和过虑.

jamesge2010
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Statement 和 PreparedStatement区别
Lyuweigh的博客
07-24 568
首先看一下他们倆的创建方式 { Connection connection = InitJdbcConnection.getConnection(); try { Statement statement = connection.createStatement(); PreparedStatement preparedStatement = connection.prepareStatement("xxx");
PreparedStatementstatement区别
xupt_rl的博客
07-21 4763
一、PreparedStatement概述    PreparedStatementstatement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法来获得,相对于Statement对象,PreparedStatement可以防止SQL注入。   另外Statement会使得数据库频繁编译SQL,有可能会造成数据库缓冲区溢出。PreparedSta...
Java数据库JDBC——prepareStatement的用法和解释
热门推荐
nnzhuilian的博客
01-10 14万+
转自:http://blog.csdn.net/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
Statement和PreparedStatement区别
一只大鹏鹏的博客
07-21 1万+
区别: 1、PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3、statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement预编译得, preparedstatement支持...
Statement接口和PreparedStatement接口区别
qq_43059863的博客
03-06 1412
Statement接口在创建语句对象时,不带参数,进行查询更新操作时,再传入完整的SQL 语句。而PreparedStatement接口创建预处理语句对象时,传入带?的SQL语句,进行查询更新操作时,不带参数。 PreparedStatement接口代码可读性高,无需拼接SQL语句,语句和代码分离。 PreparedStatement接口执行效率高,它预编译和缓存了结构相同的SQL语句,想Str...
java中PreparedStatementStatement详细讲解
08-25
主要介绍了java中PreparedStatementStatement详细讲解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PreparedStatementStatement
03-22
NULL 博文链接:https://stevenjohn.iteye.com/blog/968877
java中PreparedStatementStatement区别
12-26
Java 中 PreparedStatementStatement区别 Java 中的 PreparedStatementStatement 都是用于执行 SQL 语句的接口,但是它们之间存在一些关键的区别。 首先,从数据库执行 SQL 语句的角度来看,使用 ...
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别 Statement和PreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
prepareStatementStatement区别
09-23
prepareStatementStatement区别 prepareStatementStatement是 Java 中两个常用的数据库操作接口,它们都可以用来执行 SQL 语句,但是它们之间有着明显的区别。 首先,从创建时的区别开始,Statement 需要...
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 3881
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement区别:1. preparedStatement可以写动态参数化的查询。
JDBC中的Statement和PreparedStatement区别
qq_42499188的博客
09-28 546
1、PreparedStatement是预编译的,对于批量处理可以大大提高效率.也叫JDBC存储过程 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3、statement每次执行sql语句,相关数据库都要执行sql语句的编译,p...
数据库事务相关
Vampire的博客
08-11 254
事务管理: 事务的4大特性:简称acid 1.原子性(atomicity) 原子性是指事务包含的所有操作要么全部成功,要么全部失败回滚 比如: 以银行转账为例,一次转账包含两个update更新语句 update t_balance set 余额=余额-1000 where card_id='11111'; update t_balance set 余额=余额...
Java PreparedStatementStatement
Outengteng的博客
08-24 359
Statement 什么是StatementStatement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行SQL语句。 具体步骤:①首先导入java.sql.*;这个包。②然后加载驱动,创建连接,得到Connection接口的的实现对象,比如对象名叫做conn。③然后再用conn对象去创建Statement的实例,方法是:Statement stmt = conn.creatStatement(“SQL语句字符串”); Statement 对象用于将
简历模板简洁风简洁干练简历模板简历模板简洁风(简洁干练简历模板).zip
最新发布
06-17
在求职的征途上,一份出色的简历是你通往梦想职位的敲门砖。我们精心准备了一系列面试求职简历模板,旨在帮助你以最佳形象站在潜在雇主面前。这些简历模板不仅设计精美,而且注重内容的清晰呈现,使招聘经理一目了然地看到你的能力和经验。 我们的模板集合了多种风格与布局,无论你是应届毕业生、职场跳槽者还是行业专家,都能在这里找到适合你职业形象的简历设计。每一个模板都经过精心设计,确保你的简历在众多求职者中脱颖而出,同时保持足够的专业度和可读性。 不仅如此,我们的简历模板易于编辑,你可以根据具体职位需求快速调整内容,展现你的个人优势和职业成就。使用这些模板,将大大提高你的面试机会,并帮助你更好地表达自己的价值和潜力。 别让传统且缺乏创意的简历阻碍你迈向成功的道路。立即下载这些精美的简历模板,让你的求职之路更加顺畅,向心仪的工作迈进吧!记住,一个良好的开始是成功的一半,而一份精致的简历,正是你成功的起点。
PreparedStatementStatement区别
03-23
PreparedStatementStatement是Java中用于执行SQL语句的两种接口,们之间有以下区别: 1. 预编译:PreparedStatement执行之前会进行预编译,将SQL语句编译成可执行的二进制代码,而Statement则是在执行时才进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值