PreparedStatement 浅谈

最新推荐文章于 2024-06-05 15:22:29 发布
最新推荐文章于 2024-06-05 15:22:29 发布
阅读量328 收藏 1
点赞数 2
分类专栏: 后端 文章标签: JDBC PreparedStatement 预处理 mybaties# $区别
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34956796/article/details/102788214
版权

用过Mybatis的都应该了解 #{} ${} 的区别:一般较为常见的回答是:#{}是预编译处理,${}是字符串替换。

所以涉及到了 myabties的底层使用PreparedStatement。但是按照官方说法预编译功能是需要手动开启的。这里以mysql为例:MySQL启用预编译的先决条件是useServerPstmts=true。MySQL是否默认开启和jdbc的版本有很大关系,关系如下:
MySQL Server 4.1之前的版本是不支持预编译的
jdbc驱动是5.0.5之前的版本,默认开启了预编译
jdbc驱动是5.0.5之后的版本,需要手动开启了预编译

我现在使用的mysql是5.7版本,如何打开mysql的查询日志如下
执行
SET GLOBAL log_output=‘FILE’;//将操作记录到文件
SET GLOBAL general_log_file = ‘d:/log/mysql.txt’;日志保存位置
SET GLOBAL general_log = ‘ON’; //开启日志
查看结果
SHOW VARIABLES LIKE "general_log%"
结果如下
在这里插入图片描述
下面开始测试
因为我的jdbc版本比较高,所以是默认关闭的测试代码如下

Class.forName("com.mysql.cj.jdbc.Driver");
        Connection connection = DriverManager.getConnection("jdbc:mysql://localhost/monster?" +
                "serverTimezone=UTC&characterEncoding=utf-8","root","root");
        PreparedStatement ps = connection.prepareStatement("select * from adress where country = ?");
        ps.setString(1,"中国");
        ResultSet resultSet = ps.executeQuery();
        while(resultSet.next()){
            System.out.println(resultSet.getString("name"));
        }
        resultSet.close();
        connection.close();

	日志如下

在这里插入图片描述
很明显 并没有任何预编译的代码

然后我们修改jdbc连接串,显性开启预编译,代码如下

 Class.forName("com.mysql.cj.jdbc.Driver");
        Connection connection = DriverManager.getConnection("jdbc:mysql://localhost/monster?" +
                "serverTimezone=UTC&characterEncoding=utf-8&useServerPrepStmts=true&&cachePrepStmts=true","root","root");
        PreparedStatement ps = connection.prepareStatement("select * from adress where country = ?");
        ps.setString(1,"中国");
        ResultSet resultSet = ps.executeQuery();
        while(resultSet.next()){
            System.out.println(resultSet.getString("name"));
        }
        resultSet.close();
        connection.close();

日志如下:
在这里插入图片描述
可以看到有预编译的操作
故而我们查看jdbc代码可知
在这里插入图片描述
真正的预编译,是需要参数支持的。
所以不能说 PreparedStatement就是预编译。那么问题来了,如果PreparedStatement不是预编译,那么他是如何防止sql注入的呢,我做了一些简单的sql注入测试,日志如下,代码略
在这里插入图片描述
根据这个特点我们追踪到
ps.setString(1,“中国”);代码,他到底做了什么操作,代码如下
在这里插入图片描述
F7 进入可知
在这里插入图片描述
他实际上是做了 两端+单引号处理 来防止sql注入的,并不是预编译的效果,使用?作为占位符替换。
PreparedStatement不是将参数简单拼凑成sql,而是做了一些预处理,将参数转换为string,两端加单引号,将参数内的特殊字符(换行,单双引号,斜杠等)做转义处理,很大限度的避免了sql注入。
所以结论是
在未开启预编译参数时,实际上是字符串处理,打开预编译参数,才是真正的预编译
回到开头,mybaties #{} ${}区别是什么,下面才是比较正确的回答
’#‘相当于对数据 加上 双引号,在未开启预编译参数的情况下,其实是伪处理 ,’$'相当于直接显示数据
如果面试谈到预编译问题,你可以说需要开启预编译参数才是真正的预编译,否则都是PreparedStatement的伪处理。
以上都是个人简介如果不对 请斧正 谢谢

老妖0v0
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于SQL语句prepareStatement预编译"?"占位符问题
weixin_41342104的博客
11-03 2564
关于SQL语句prepareStatement预编译"?"占位符问题Connection中的createStatement和 prepareStatement区别为什么会有占位符"?"(重点到了)请看下方结语 Connection中的createStatement和 prepareStatement区别 首先说下为什么常用的是PreparedStatement,因为Prepared...
Java日志二十「PreparedStatement对象和一个简单的工具类」
S_8casrces的博客
08-26 190
在这篇正片开始前我先把数据库的事物操作简单说一下,(主要是为了引出做后一种没有介绍的JDBC对象与一个简单的JDBC工具类): 大家肯定发现了每次连接数据库执行一些操作的都有很多重复的操作,我们可以自己定义一个工具类来完成这些重复的操作。 我们先把一些必要的数据写道一个配置文件中 url=jdbc:mysql:///Practice_affair user=root password=000222abc driver=com.mysql.cj.jdbc.Driver 工具类 public class JD
MySQL的PrepareStatement真的是预编译语句么?
小伍的程序之路
06-05 511
通过使用 PreparedStatement,可以预编译 SQL 语句,并且在执行时可以重复使用这个预编译的语句,这样可以提高执行效率并且增强安全性(特别是防止 SQL 注入攻击)。:是否启用PrepareStatement缓存,默认值是false,相同sql就不再构建新的PrepareStatement对象。:PrepareStatement缓存的最大数量,默认值是25,超过这个数字就抛弃老的prepStmt。: 可以缓存的prepStmt对应sql的最大字符长度,默认值256,超过这个上线就不缓存。
PreparedStatement 单引号
qq_45178972的博客
10-03 1265
String sql=“insert into filedata(filename,path) values(’ “+file.getName()+” ',?)”; insert字符时两边要加单引号‘’
Error setting value #19 [Boolean] on prepared statement2问题
qq_41763326的博客
05-24 1422
问题描述:在由SQLServer向Oracle导入数据时,报出如下错误,第19个字段需要一个Boolean类型字段 原数据内容为null和N,使用Kettle自动导入Oracle数据库中自动转变为char(1)类型,造成数据类型不匹配,但由于Oracle并不含有Boolean类型,所以这里采用一种折中的办法,将SQL server表输入时的null、N数据在输出时改为0、1数字类型,这样就可以在Oracle中进行保存。 -- 原查询语句 SELECT booleandata FROM Example
PreparedStatement
qq_51049931的博客
06-10 321
在的增删改查的操作中,使用的是Statement传输器对象,而在开发中我们用的更多的传输器对象是PreparedStatement对,PreparedStatementStatement的子接口,比Statement更加安全,并且能够提高程序执行的效率。 ...
PrepareStatementStatement学习笔记
linchixiong的专栏
04-06 133
PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。 这种转换也给你带来很大的便利,不必重复SQL语句的句法,而只需更改其中变量的值,便可重新执行SQL语句...
浅谈Java技术中的数据库应用
03-04
java.sql包提供了诸如Connection、Statement、PreparedStatement、ResultSet等接口和类,用于建立数据库连接、执行SQL语句以及处理查询结果。这个包在Java 2中进一步扩展,包含了6个类和18个接口,使得数据库操作...
浅谈Mybatis #和$区别以及原理
08-18
浅谈Mybatis #和$区别以及原理 Mybatis是一款流行的持久层框架,它提供了两个占位符:#和$,它们均用于参数化SQL语句,但是它们的作用和原理却有所不同,本文将详细介绍这两者的区别和原理。 #和$的区别 在...
浅谈Java小程序数据库的访问方法.zip
10-16
`Statement`用于执行静态SQL,而`PreparedStatement`则用于执行预编译的SQL,更安全且性能更好。 4. **处理结果集**:执行查询后,会返回一个`ResultSet`对象,包含了所有查询结果。通过遍历这个结果集,可以获取并...
【性能】JDBC PreparedStatement和连接池PreparedStatement Cache学习记录
03-29
NULL 博文链接:https://singleant.iteye.com/blog/1298837
浅谈Java中Mysql数据库的连接与操作.zip
10-16
- 增加(INSERT):使用PreparedStatement的`executeUpdate()`方法插入数据,先设置占位符,然后通过`setXXX()`方法传入实际值,如`ps.setString(1, "John")`。 - 删除(DELETE):同样使用`executeUpdate()`方法,...
浅谈常见应用安全漏洞原理及防范
07-19
2. **参数化查询:** 使用预编译语句(如Java中的`PreparedStatement`),确保SQL查询中的变量被正确转义。 3. **避免显示SQL错误:** 避免在页面上直接显示SQL错误信息,因为这可能会向攻击者暴露更多关于数据库...
PreparementStatement接口
weixin_30883311的博客
05-10 118
1.SQL注入问题在以前过程中,总是采取拼接SQL语句的方式,来实现数据的增删改查! String Sql=select * from user where username="" and password="" 由于没有对拼接的字符进行检查,很容易遭受到恶意的攻击,例如变成如下操作。 select * from user where username='老李' or '1'='1' and...
JDBC(五)PreparedStatement 详解
weixin_33962923的博客
03-03 311
PreparedStatement 是一个特殊的Statement对象,如果我们只是来查询或者更新数据的话,最好用PreparedStatement代替Statement,因为它有以下有点: 简化Statement中的操作 提高执行语句的性能 可读性和可维护性更好 安全性更好。 使用PreparedStat...
PreparedStatement 不能用?代替表名的原因
qq_39015329的博客
08-24 2571
PreparedStatement 不能用?代替表名的原因:preparedStatement代替 ? 的string都是用‘ ’单引号包裹着,导致sql认为我的表名是个字符串,所以报错。
JDBC之使用PreparedSatement
weixin_43945486的博客
08-03 588
目录1.操作和访问数据库2.使用Statement操作数据弊端3.PreparedStatement的使用3.1 介绍3.2 Java和SQL对应数据类型转换3.3 使用PreparedStatement实现增、删、改操作3.4 使用PreparedStatement实现查询操作3.4.1 查询后返回单个数据结果3.4.2 查询后返回多个数据结果集3.5 注意事项 1.操作和访问数据库 数据库连接用于向数据库服务端发送命令和SQL语句,并接受服务器端返回的结果 java.sql 包中定义对数据库的调
PreparedStatement预编译无法用?占位符替换表名和字段名
LiQiyao的博客
04-29 6906
PreparedStatementStatement的改良版,具有预编译功能,方便使用,运行速度快。 可以通过?占位符把字段值替换,之后通过setXXX方法,注入字段值。 但是?占位符只能替换字段值,不能替换表名、字段名或者其他关键词。
聚类算法-一种无监督学习方法.docx
最新发布
08-12
聚类算法是一种无监督学习方法,用于将数据集中的数据点自动分组到不同的类别中,这些类别也称为“簇”或“群”。聚类的目标是让同一簇内的数据点尽可能相似,而不同簇之间的数据点尽可能不相似。聚类算法广泛应用于多种领域,如数据挖掘、模式识别、图像分析、信息检索等。 聚类算法的基本概念 无监督学习:聚类算法不需要事先标记数据点的类别标签,而是根据数据本身的相似性来分组。 相似性度量:聚类算法依赖于某种相似性或距离度量来决定数据点之间的相似程度。常用的度量包括欧氏距离、曼哈顿距离等。 目标函数:大多数聚类算法都会尝试最小化某种目标函数,例如簇内的平方误差和(SSE)。 常见的聚类算法 K-Means K-Means 是一种原型聚类算法,它通过迭代地将数据点分配到最近的质心来形成簇,并重新计算每个簇的质心,直到质心不再显著变化为止。 在 Python 的 scikit-learn 库中,可以通过 KMeans 类实现 K-Means 聚类。 层次聚类 层次聚类构建一个树状图(称为树状图或 dendrogram),显示数据点是如何逐渐合并成簇的。 这种算法可以是凝聚型(自底向上)或分裂型(自顶向下)。
preparedstatement
05-23
PreparedStatement是Java中一种执行SQL语句的接口,它继承自Statement接口。与Statement相比,PreparedStatement具有以下优点: 1. 预编译:PreparedStatement会在执行之前先将SQL语句编译成二进制形式,从而提高执行效率。 2. 安全:PreparedStatement能够自动处理SQL注入攻击,因为它能够将输入参数转义为字符串。 3. 可读性:PreparedStatement能够更清晰地表达SQL语句,因为它能够在SQL语句中使用占位符代替具体的参数值。 使用PreparedStatement的基本流程如下: 1. 获取PreparedStatement对象:通过Connection对象的prepareStatement()方法获取PreparedStatement对象。 2. 编写SQL语句:使用占位符代替具体的参数值。 3. 设置参数值:使用PreparedStatement对象的setXXX()方法设置占位符对应的参数值。 4. 执行SQL语句:使用PreparedStatement对象的execute()方法执行SQL语句。 5. 处理结果:根据执行结果进行相应的处理。 示例代码: ```java PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM users WHERE username = ?"); pstmt.setString(1, "john"); ResultSet rs = pstmt.executeQuery(); while (rs.next()) { // 处理查询结果 } rs.close(); pstmt.close(); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值