1. 执行效率
PreparedStatement可以尽可能的提高访问数据库的性能,数据库在处理SQL语句时都有一个预编译的过程,而预编译对象就是把一些格式固定的SQL编译后,存放在内存池中即数据库缓冲池,当我们再次执行相同的SQL语句时就不需要预编译的过程了,只需DBMS运行SQL语句。所以当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,特别是的大型的数据库中,它可以有效的也加快了访问数据库的速度。
2. 代码可读性、可维护性
比如向记录用户信息的表中插入记录: user(id, password, name, email, address)。使用Statement的SQ语句如下:
String sqlString =
"insert into user values('"
+
user.id +
"', '"
+
user.password +
"', '"
+
user.name +
"', '"
+
user.email +
"', '"
+
user.address +
"')"
;
|
使用PrearedStatement的SQL语句如下:
String sqlString =
"insert into user(id, password, name, email, address) values(?, ?, ?, ?, ?)"
;
PreparedStatement pstmt = connection.PreparedStatement(sqlString);
pstmt.setString(
1
, user.id);
pstmt.setString(
2
, user.password);
pstmt.setString(
3
, user.name);
pstmt.setString(
4
, user.email);
pstmt.setString(
5
, user.address);
|
使用占位符?代替参数,将参数与SQL语句分离出来,这样就可以方便对程序的更改和延续,同样,也可以减少不必要的错误。
3. SQL执行的安全性
SQL注入攻击:是从客户端输入一些非法的特殊字符,从而使服务器端在构造SQL语句时仍能正确构造,从而收集程序和服务器的信息或数据。比如在Web信息系统的登录入口处,要求用户输入用户名和密码,客户端输入后,服务器端根据用户输入的信息来构造SQL语句,在数据库中查询是否存在此用户名以及密码是否正确。假设使用上述例子中的表“user”构造SQL语句的Java程序可能是:
sqlString =
"select * from user where user.id = '"
+ userID +
"' and user.password = "
' + userPassword + "'
";
|
其中userID, userPassword是从用户输入的用户名及密码。如果用户和密码输的都是 '1' or '1'='1',则服务器端生成的SQL语句如下:
sqlString = "select * from user where user.id =
'1'
or
'1'
=
'1'
and user.password =
'1'
or
'1'
=
'1';
|
这个SQL语句中的where字句没有起到数据筛选的作用,因为只要数据库中有记录,就会返回一个结果不为空的记录集,查询就会通过。上面的例子说明:在Web环境中,有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序。特别是在公共Web站点上,在没有首先通过PreparedStatement对象处理的情况下,所有的用户输入都不应该传递给SQL语句。此外,在用户有机会修改SQL语句的地方,如HTML的隐藏区域或一个查询字符串上,SQL语句都不应该被显示出来。
转自 http://jia1546.is-programmer.com/posts/32518.html