PreparedStatement相较于Statement的优点

最新推荐文章于 2023-12-18 16:31:42 发布
最新推荐文章于 2023-12-18 16:31:42 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: oracle java 文章标签: Statement PreparedStatement sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38789789/article/details/101345479
版权
oracle 同时被 2 个专栏收录
25 篇文章 1 订阅
订阅专栏
java
22 篇文章 0 订阅
订阅专栏

在jdbc组件中,尽量使用PreparedStatement而避免使用Statement,原因如下:
1、PreparedStatement可读性更高,维护性更强(Statement需要动态拼接);
2、PreparedStatement在被编译后会被缓存下来,下次调用相同的预编译语句时不需要重新编译,只需传入对应参数就行;而对于Statement来说,及时insert into tb_name values(1,"11")、insert into tb_name values(1,"12"),由于插入的数据不同,需要重新编译语句;
3、Statement有可能会有sql注入风险:

ps.executeUpdate(select * from tb_name where username='"+name+"' and passwd='"+passwd+"');
​

如果将"or'1'='1'作为参数传入passwd,则任何用户名都可验证成功,或者直接传入drop table tb_name,那整张表都有被删除的可能。而 PreparedStatement是预编译的,后续传入的数据不会跟语句进行匹配关系。

 

无名老仙
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis笔记13(完结)--缓存
weixin_47324424的博客
07-02 309
13、缓存 查询:要连接数据库---耗资源 优化:把一次查询的结果,给暂存一个可以直接取到的地方!-->内存:缓存 当我们再次查询相同的数据时,直接走缓存,就不用走数据库了 1、简介 什么是缓存[Cache]? 存在内存中的临时数据 将用户经常查询的数据放在缓存(内存)中,用户去查询数据就不用从磁盘上(关系型数据数据文件)查询,从缓存中查询,从而提高查询效率,解决了高并发系统的性能问题。 为什么使用缓存? 减少和数据库的交互次数,减少系统开销,提高系统效率 什么样的数据能使用缓存
Statement和PreparedStatement的区别/PreparedStatementStatement比较的优点
a_zhang8888的博客
06-18 785
Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高
相对于Statement,PreparedStatement优点是什么?
weixin_57413199的博客
10-09 1389
1、PreparedStatement有助于防止SQL注入攻击,因它自动对特殊字符转义; 2、PreparedStatement可以用来进行动态查询; 3、PreparedStatement执行更快。 4、使用PreparedStatement的setter方法更容易写出面向对象的代码,而Statement的话,我们得拼接字符串来生成查询语句,如果参数过多得情况下,字符串拼接容易出错。 ...
06丨数据库原理:为什么PrepareStatement性能更好更安全?
qq_37756660的博客
11-08 390
做应用开发的同学常常觉得数据库由 DBA 运维,自己写 SQL 就可以了,数据库原理不需要学习。其实即使是写 SQL 也需要了解数据库原理,比如我们都知道,SQL 的查询条件尽量包含索引字段,但是为什么呢?这样做有什么好处呢?你也许说,使用索引进行查询速度快,但是为什么速度快呢?此外,我们在 Java 程序中访问数据库的时候,有两种提交 SQL 语句的方式,一种是通过 Statement 直接提交 SQL;另一种是先通过 PrepareStatement 预编译 SQL,然后设置可变参数再提交执行。
PreparedStatement的使用好处
weixin_52714188的博客
07-09 1495
数据库连接被用于向数据库服务器发送命令和SQL语句,在连接建立后,需要对数据库进行访问,执行sql语句在java.sql包中有3个接口分别定义了对数据库的调用的不同方式:Statement,PreparedStatement,CallableStatemen。 PreparedStatement接口是Statement的子接口,它表示一条预编译过的SQL语句,有如下好处: 1代码的可读性和可维护性 2 PreparedStatement能提高性能:PreparedStatement执行sql后为预编译
第24讲 JDBC编程2.ppt
10-25
首先,PreparedStatement相较于普通的Statement对象,其主要优点在于执行速度更快和SQL语句的参数化。当PreparedStatement实例化时,预先指定一个SQL语句,这个语句被直接发送到数据库进行编译。因此,当同一个...
simple-database1-raw-sql:数据库 CRUD 示例
06-29
本示例“simple-database1-raw-sql”聚焦于使用SQLite数据库进行CRUD操作,并且与Java编程语言相结合。SQLite是一个轻量级、嵌入式的关系型数据库,它无需单独的服务器进程,可以直接在应用程序中使用。 首先,让...
postgresql:Postgresql V3协议和JDBC 4驱动程序
04-30
V3协议相较于早期版本,增加了更多功能和优化,比如支持更复杂的查询结构、更大的数据类型以及更好的错误处理机制。在PostgreSQL中,这个协议使得开发者可以使用各种语言编写客户端应用,而不仅仅是Java。 **JDBC 4...
MyBatis 40道面试题和答案.docx
06-14
3. 相较于全自动的ORM框架如Hibernate,MyBatis需要手动编写SQL,虽然提供了动态SQL的能力,但在处理复杂的关联查询时,可能需要更多的开发工作。 ORM,即对象关系映射,它的主要目的是将数据库中的数据与Java对象...
利用Java程序实现Oracle数据库中大对象的存取.pdf
10-10
Oracle数据库系统是应用最广泛的数据平台,使用Java和Oracle相结合开发网络应用程序,可以使应用程序具有二者的优点,高效而安全地运行。随着硬件价格的下降和数据应用的增加,数据库逐渐成为所有数据的中心存储仓库...
如何理解PreparedStatementCache,以及如何使用
weixin_34204722的博客
08-05 142
2019独角兽企业重金招聘Python工程师标准>>> ...
JDBC:深入理解PreparedStatementStatement
热门推荐
Marvel__Dead 胡艺宝的博客
04-07 2万+
前言最近听一个老师讲了公开课,在其中讲到了PreparedStatement的执行原理和Statement的区别。当时听公开课老师讲的时候感觉以前就只知道PreparedStatement是“预编译类”,能够对sql语句进行预编译,预编译后能够提高数据库sql语句执行效率。但是,听了那个老师讲后我就突然很想问自己,预编译??是谁对sql语句的预编译??是数据库?还是PreparedStatement
你不知道的PreparedStatement预编译
布道
11-28 7321
大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,大致知道mybatis底层使用PreparedStatement,过程是先将带有占位符(即”?”)的sql模板发送至mysql服务器,由服务器对此无参数的sql进行编译后,将编译结果缓存,然后直接执行带有真实参数的sql。如果你的基本结论也是如此,那你就大错特错了。 目录 1. mysql是否默认开启了预编译功...
JDBC之PreparedStatement的理解
gao_zhennan的博客
06-11 8146
前言:怀着疑惑和痛苦的心情写下这篇文章,其中疑惑之一是预编译对象,把编译之后的整个语句保存在对象中,如果保存保存在哪里呢? 注:本文以mysql数据库为基础展开 一、基础知识 1、SQL语句在数据库中的执行过程 一条SQL语句从客户端(如: java 程序、navicat工具、cmd命令行)发送到数据库管理系统后,要经历以下过程: 词法和语义的解析 优化SQL语句,制定执行计划 执行并返回结果...
为什么PrePareStatement预处理对象能提升性能
qq_71443736的博客
12-18 1235
PreparedStatement在第一次编译后,存放在数据库里,类似于K-V对应的方式存储,这样,当下一条同样的PreparedStatement发送到数据库里,数据库查找到有相应的K存在,就调用K中的方法,省却了再去重新创建语句的过程,提高数据库的性能。ORACLE只对简单的表提供高速缓冲(cache buffering) ,这个功能并不适用于多表连接查询。
PreparedStatementStatement的区别和效率
Eric_splendid的博客
01-22 2670
同样也是在一次面试中问到的,当时回答说PreparedStatementStatement效率高; 其实这个回答是错误的!掌握的还是不够! 一、PreparedStatement相比于Statement,有三个优点:一)代码的可读性和可维护性。从代码来看,用PreparedStatement来代替Statement使代码多出几行,但这样的代码无论从可读性还是可维护性上来说,都比
PreparedStatement相比Statement的好处
码农小奎
04-02 340
PreparedStatement的好处: 1.PreparedStatement解决了Statement的拼串、SQL注入问题 2.PreparedStatement可以操作Blob数据,而Statement做不到 3.在批量操作时,PreparedStatement效率更高
PrepareStatementstatement,有什么区别,preparedStatement有哪些优点
此生不换的博客
04-25 5697
(1)Statement是PreparedStatement的父类,作为 Statement 的子类,       PreparedStatement 继承了 Statement 的所有功能。  (2)PrepareStatementstatement的sql语句放置位置不同 Statemen st=conn.CreateStatement(); resultSet rs=st.exec
Statement和PreparedStatement
xinyihhh的博客
02-19 291
使用PreparedStatement的好处: *可读性和维护性强 1、不再使用+拼接sql语句,减少语法错误,语义性强 2、将模板sql(固定的部分)和参数部分进行了分离,提高维护性 3、有效的解决了sql注入问题! sql注入问题: //孙红雷 ' or '1' = '1 String sql = "SELECT eid,ename,tel,gender,salary FROM t_employee WHERE ename = '" + name + "'"; Sys...
PreparedStatementStatement区别
最新发布
03-23
PreparedStatementStatement是Java中用于执行SQL语句的两种接口,们之间有以下区别: 1. 预编译:PreparedStatement在执行之前进行预编译,将SQL语句编译成可执行的二进制代码,而Statement则是在执行时才进行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值