prepareStatement和Statement的区别

最新推荐文章于 2020-05-07 21:20:45 发布
最新推荐文章于 2020-05-07 21:20:45 发布
阅读量1.1k 收藏
点赞数
分类专栏: mysql 文章标签: PreparedSt 防sql注
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/niclascage/article/details/49256395
版权

一.代码的可读性和可维护性。
虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:

二.PreparedStatement尽最大可能提高性能,尤其是多次相同的操作
每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行。而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配。

三.最重要的一点是极大地提高了安全性.
那为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or ‘1=1’也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用

可以用PreprareStatement的地方都用PreprareStatement

niclascage
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PrepareStatementStatement的主要区别
08-06 4847
正常对比: 1. PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行
简述statement 和preparestatment的区别以及关于重复使用preparestatment和statement的理解
zeng6325998的博客
08-15 1939
前言 statement 和 PreparedStatement 均为接口,可以用他们来执行sql,但是他们还是有细微的差别。 1、执行sql的样式不同 Statement Statement执行的是静态的sql对象 PreparedStatement PreparedStatement既可以执行静态的sql对象,可以往里面出入参数。(这块注意: 参数类型不能错 比如int值就传入int) 样例如下,不多解释 Connection connection = DriverManager.g
java中PreparedStatementStatement详细讲解
热门推荐
程宇寒
03-05 13万+
大家都知道PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,那么大家知道为什么PreparedStatement对象可以防止sql注入 ...
PrepareStatment 与 Statement 比较
wentao365的专栏
05-22 340
JAVA的JDBC有多种方法可以对数据库进行查询,但使用比较多的还是conn.prepareStatement()和conn.createStatement()两种方式打开数据库游标进行查询,具体方法就不多说了,主要说说两种方式的区别。个人感觉在开发中还是应尽量使用prepareStatement方式进行数据库查询,原因有以下几点: [b]1:安全性[/b] prepareStatem...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
prepare cashflow_cashflow_statement_
10-04
现金流量表(Cashflow Statement)是企业财务报告的重要组成部分,用于揭示企业在一定会计期间内现金的流入和流出情况,展示了公司的经营、投资和筹资活动对现金的影响。它可以帮助投资者、管理层和其他利益相关者...
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
PrepareStatement是JDBC提供的一种预编译的SQL语句,它可以提高数据库操作的效率和安全性。本资源主要涵盖了使用JDBC PrepareStatement进行MySQL数据库操作的各种场景,包括基本的查询、更新以及批量处理。 首先,...
JDBC中Statement和Preparement的使用讲解
08-26
JDBC 中 StatementPrepareStatement 的使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本的 SQL 语句执行功能。PrepareStatementStatement 的子接口,提供了预编译的功能,可以提高性能和安全...
JAVA集锦(四)--PrepareStatementStatement区别
思想上移,行动下移
08-28 683
preparestatement继承于statement,由此我们可以得到初步结论:preparestatementstatement的基础上进一 步实现了自己特有的一些方法和属性,preparestatement是对statement的扩展和优化。   1.可读性和可维护性           Statement用于执行静态sql语句,在执行时必须指定一个事先准备好的sql语句。执行
statement和prepared区别
07-27
jdbc中statement和prepared区别,jdbc中statement和prepared区别
StatementPrepareStatement区别详解
shang_bo_liang的博客
05-07 767
1.PreparedStatement继承自Statement,两者都是接口。 2.内部都要建立类似于Sockt连接,效率都不是特别高。 从资源利用和安全的角度区分两者的不同: 关于批处理时如何选择,以数据量大小位标准分三种情况: 1)量比较小,二者皆差别不大。 2)量比较多,在PreparedStatement预编译空间范围之内,选择PreparedStatement,因为其只预编译一...
JDBC----Statement安全问题与PrepareStatement
mqingo的博客
11-26 979
1. Statement执行 ,其实是拼接sql语句的。  先拼接sql语句,然后在一起执行。          String sql = "select * from user where username='"+ username  +"' and password='"+ password +"'";         UserDao dao = new UserDaoImpl();  ...
浅谈 JDBC 中 CreateStatementPrepareStatement区别与优劣。
雏鹰
09-12 5万+
微信搜索 程序员的起飞之路 可以加我公众号,保证一有干货就更新~ 本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatementPrepareStatement区别,但其实说的就是StatementPrepareStatement区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就当重记忆,没看到就当补充~下面开始谈谈他.
Statement 和 PreparedStatement总结
钟渊博客
08-26 3110
一、Statement Statement 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句。 用于执行静态 SQL 语句并返回它所生成结果的对象。 在默认情况下,同一时间每个 Statement 对象在只能打开一个 ResultSet 对象。因此,如果读取一个 Resu
浅析Statement和PreparedStatement区别
weixin_34218890的博客
02-16 646
当我们使用java程序来操作sql server时会使用到Statement和PreparedStatement,俩者都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句。那么如何进行一个较好的选择? 首先,我们来看俩者的区别Statement和PreparedStatement区别(1) 1、直接使用Statement,驱动程序一般不会对sql语句作...
JDBC:深入理解PreparedStatementStatement
Marvel__Dead 胡艺宝的博客
04-07 2万+
前言最近听一个老师讲了公开课,在其中讲到了PreparedStatement的执行原理和Statement区别。当时听公开课老师讲的时候感觉以前就只知道PreparedStatement是“预编译类”,能够对sql语句进行预编译,预编译后能够提高数据库sql语句执行效率。但是,听了那个老师讲后我就突然很想问自己,预编译??是谁对sql语句的预编译??是数据库?还是PreparedStatement
三种Statement的对比
周嘉笙的博客
05-09 1900
(1)Statement 对象:用于执行不带参数的简单 SQL 语句;它提供了三种执行SQL语句的方法:executeQuery():用于产生单个结果集的sql,如select语句executeUpdate:用于执行insert、delete、update、create table、drop table等execute():用于执行返回多个结果集、多个更新计数或二者组合的语句,多数程序员不会需要该高级功能。(2)PreparedStatement 对象:用于执行带或不带参数的预编译 SQL 语句Prepar
JDBC中的Statement和PreparedStatement区别
qpzkobe的博客
02-07 1万+
以Oracle为例吧Statement为一条Sql语句生成执行计划,如果要执行两条sql语句select colume from table where colume=1;select colume from table where colume=2;会生成两个执行计划一千个查询就生成一千个执行计划!PreparedStatement用于使用绑定变量重用执行计划select colume from...
statementprepareStatement区别
07-13
statementpreparestatement都是Java中用于执行SQL语句的接口,但是它们有一些区别statement是一种简单的接口,它可以执行静态的SQL语句,但是不能执行动态的SQL语句。当我们需要执行一条SQL语句时,我们需要将SQL语句作为字符串传递给statement对象,然后调用execute()方法来执行它。 preparestatement是一种更高级的接口,它可以执行动态的SQL语句。当我们需要执行一条动态的SQL语句时,我们可以使用preparestatement对象来预编译SQL语句,然后使用参数来填充SQL语句中的占位符。这种方式可以提高SQL语句的执行效率,并且可以避免SQL注入攻击。 总的来说,preparestatementstatement更加灵活和安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值