为什么JDBC 中用 PrepareStatement 而不用 Statement

最新推荐文章于 2023-04-24 16:43:57 发布
最新推荐文章于 2023-04-24 16:43:57 发布
阅读量568 收藏 3
点赞数
文章标签: PrepareStatement Statement 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40662239/article/details/90798840
版权

一、PrepareStatement是预编译的,比Statement速度快

每一种数据库都会尽最大努力对预编译语句提供最大的性能优化;因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个函数)就会得到执行;这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配,那么在任何时候就可以不需要再次编译而可以直接执行;而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配。

二、PrepareStatement对比Statement更具有安全性

Statement采用的方法是先组装SQL语句,然后进行sql命令的执行,容易出现错误

例如:

如果我们把[' or '1' = '1]作为kspwd传入进来 照样能成功

但是用PrepareStatement就完全不一样

 

事实证明:PrepareStatement方法更加安全快捷

沉默的猫小弟
关注
利用jdbc操作数据库——prepareStatementStatement的比较以及利用batch模式提高效率的心得
C_envelope的博客
10-09 1210
1.prepareStatement   vs  statement (1)prepareStatement预编译SQL语句,批处理效率高 什么是预编译,好处?(参考https://blog.csdn.net/Marvel__Dead/article/details/69486947) 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可...
mybatis - prepareStatementstatement的区别
m0_60309952的博客
01-11 954
首先看两段代码: 首先是使用prepareStatement: public void add(Config config){ String sql = "insert into category values(null,?,?)"; try { Connection c = DBUtil.getConnection(); PreparedStatement ps = c.prepareStatement(sql)
JDBC为什么要使用PreparedStatement而不是Statement
weixin_34260991的博客
11-26 263
2019独角兽企业重金招聘Python工程师标准>>> ...
关于SQL漏洞--不用statement的原因
PengTan
10-01 374
statement主要用于执行静态的SQL语句。preparestatement用于执行动态sql语句,效率很高,并且还能防止SQL注入。 关于SQL漏洞。 例如:sql = "select * from 用户表 where 姓名=' "+name+" ' and 密码= ' "+password+" ' "; name和password放用户输入的用户名和口令。通过执行上述sql句子判断帐
jdbc操作数据库Statement和prepareStatement的区别
老牛鼻子的山
11-25 453
[size=large]Statement和prepareStatement的区别[/size] [size=x-large]两个接口都是用来实现,然后将sql语句传入实现后的对象,并通过对象发送给数据库,但是两种方式又有很大的区别。接下来就说一下它们两个的区别。 首先从它们的实例化方式来说: Statement的实例化方式是通过Conection的实例调用createState...
PrepareStatementStatement的对比
击水三千里的专栏
12-30 1359
PrepareStatementStatement的对比
JDBC中的statement、executeQuery()、SQL injection attacks注入式攻击、preparedStatement
weixin_39478934的博客
12-14 1227
JDBC:Java DataBase Connect,即Java数据库连接,我们可以用它来操作关系型数据库Statement Statement是 Java 执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。 Statement对象,用于执行不带参数的简单SQL语句。 建立了到特定数据库的连接之后,就可用该连接发送 SQL 语句。 例如 public PortalConnection(String db, String user, String pw
JDBC中用控制台简单对数据库进行增删改查操作(IDEA.2023)
name_xy的博客
04-24 1296
今天我们将探讨如何使用Java数据库连接(JDBC)在控制台上进行简单的增删改查操作。数据库是现代应用程序的重要组成部分,因此了解如何与其进行交互是非常有用的技能。JDBC是Java开发中使用最广泛的数据库API,它提供了一种标准的方式来连接和管理各种类型的数据库。在本文中,我们将介绍如何使用JDBC API连接到数据库,执行基本的增删改查操作,并关闭连接,以确保数据的安全性。无论您是新手还是有经验的开发人员,本文都将为您提供有用的信息和指导,让您能够轻松地在控制台上操作数据库
利用JDBC解决大数据查询的问题
最新发布
05-06
`ResultSet`对象是JDBC中用来存储查询结果的重要类之一。创建`ResultSet`的方法通常有两种: - 使用`createStatement`方法: ```java Statement stmt = conn.createStatement(int RSType, int RSConcurrency); `...
JDBC在IDEA(版本2020.2.2)中实现增删改查操作
weixin_65824274的博客
10-30 777
概念:ava数据库连接,(lavaDatabaseConnectivity,简称DBC)是lava语言中用来规范客户端程序如何来访问数据库的应用程序接口,提供了诸如查询和更新数据库中数据的方法。各数据库厂商根据DBC的规范,实现自身数据库操作的功能代码,然后以jar包(数据库厂商提供的驱动包)的形式提供给开发人员使用,开发人员使用反射的机制创建这些具体实现类的兑现完成数据库的操作。6.操作判断--增删改返回的是影响的行数(返回值是int),只有查询获得结果集(返回值ResultSet)
JDBC之通过PreaparedStatement接口实现对数据库进行CRUD操作步骤
weixin_51094637的博客
01-20 1107
目录 一,前言 二,JDBC(了解) 概述: 三,CRUD操作(create(增加),read(查),update(修改),delete(删除))步骤 1)导入jar包(丰富的工具类)加载JDBC驱动程序,并获取连接 2)预编译sql语句,返回PrepareStatement的实例对象 4)执行sql语句 5)获取并处理结果集 6)资源的释放(close() 一,前言 1.数据的持续化:把数据保存到可掉电式存储设备中以供之后使用。 大多数情况下,特别是企业级应用,数据持久化意味.
PrepareStatementStatement
java学习
11-30 490
PrepareStatementStatement  PrepareStatement包含了Sql语句,并且这个语句已经预编译过了,当其要执行的时候只需要DBMS运行sql语句(替换变量)。当需要多次执行相同句法的SQL时,加快访问速度。  PrepareStatement对象执行SQL命令时,命令被数据库进行解析和编译,然后被放到命令缓冲器,然后每当执行同一个PrepareStatemen
statement 与preparestatement 区别
归零生活
03-30 459
1. PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。这种转换也给你带来很大的便利,不必重复SQL语句的句法,而只需要更改其中变量的值,便可重新执行SQL
JDBC(二):使用parpredstatement方法连接数据库
RadNICkMan的博客
02-29 601
java public class ParparedStatement { public static void main(String[] args) { Connection conn = null; PreparedStatement ps = null; // --1.加载驱动 try { Class.forName(“com.mysql.jdbc.Driver”); } catch (C...
Statement和PrepareStatement的区别
qq_55018589的博客
04-16 1019
1.Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 就比如说 String sql="select * from user where us...
每周小知识——Statement和PreparedStatement的区别
xweiwxh的博客
07-15 533
Statement和PreparedStatement的区别: 1.PreparedStatement对象对SQL语句做了预处理,能防止SQL注入的问题,而Statement对象直接使用用户输入的SQL语句,可能会发生SQL注入的问题,在安全性上前者更好. 2.如果带有不同参数的同一SQL语句被多次执行的时候,PreparedStatement对象比Statement对象更有效。 3.PreparedStatement对象允许数据库预编译SQL语句,这样在随后的运行中可以节省时间并增加代码的可读性和可维护
如何选择PreparedStatement还是Statement
wang_xu_dong的博客
04-10 381
选择PreparedStatement还是Statement取决于你要怎么使用它们. 对于只执行一次的SQL语句选择Statement是最好的. 相反, 如果SQL语句被多次执行选用PreparedStatement是最好的. PreparedStatement的第一次执行消耗是很高的. 它的性能体现在后面的重复执行
JDBC的预编译语言对象PreparedStatement为什么优于Statement
嘿丷如歌的博客
03-11 768
以Oracle为例吧 Statement为一条Sql语句生成执行计划, 如果要执行两条sql语句 select colume from table where colume=1; select colume from table where colume=2; 会生成两个执行计划 一千个查询就生成一千个执行计划! PreparedStatement用于使用绑定变量重用执行计划
JDBC之预编译PreparedStatementStatement的优点
qq971473597的博客
03-11 232
优点1:可读性和维护性更好 Statement的插入语句: String sql = "INSERT INTO teacher VALUES ('" + username + "','"+password+"','" + name +"')";; PreparedStatement的插入语句: String sql = "insert into teacher values(?,?,...
private Connection con; private PreparedStatement ps; private ResultSet rs; private Statement stmt;
05-19
ps = con.prepareStatement(sql); // 执行查询操作 ps.setInt(1, id); rs = ps.executeQuery(); while (rs.next()) { // 处理查询结果 } // 关闭资源 rs.close(); ps.close(); con.close(); ``` 需要注意的是,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值