StatementPreparedStatement的区别

最新推荐文章于 2022-08-31 19:46:07 发布
最新推荐文章于 2022-08-31 19:46:07 发布
阅读量429 收藏
点赞数
分类专栏: java 文章标签: java jdbc 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40871196/article/details/90738620
版权

1、statement接口:

statement接口用于向数据库发送SQL语句,该接口提供了三种执行SQL语句的方法:

boolean execute(String sql):运行语句,返回是否有结果集

ResultSet executeQuery(String sql):运行select语句,返回结果集

int executeUpdate(String sql):运行insert/update/delete语句,返回更新的行数

2、PreparedStatement接口:

该接口继承自Statement接口,用于执行预编译的Sql语句,该接口提供了对数据库进行基本操作的方法:

ResultSet executeQuery(String sql):运行select语句,返回结果集

int executeUpdate(String sql):运行insert/update/delete语句,返回更新的行数

void addBatch(String sql):把多条sql语句放入一个批处理种

int executeBatch(String sql):向数据库发送一批sql语句执行

3、PreparedStatement接口的优越性:

  • 能够执行参数化的sql语句:开发人员能够通过修改梣属反复调用同一个sql语句,这样避免反复书写相同的sql语句的繁琐
  • 比Statement效率更高:因为数据库系统对sql语句进行编译预处理,执行计划就会被缓存起来,该语句就能在将来的查询中重用,这样一来,它比statement对象生成的查询速度更快,性能更好,为了减少数据库的负载,实际应用中多使用preparedstatement
  • preparedStatement可以防止SQL注入攻击:在使用参数查询的情况下,数据库系统不会将参数的内容视为sql指令的一部分来处理,而是在数据库完成sql指令的编译后,才套用参数执行。

4、sql注入:

sql注入是比较常用的网络攻击方式,它利用现有程序的漏洞,将恶意的sql命令注入到后台数据库,最终达到欺骗服务器并实现攻击者意图的目的。在程序的运行中,sql注入会造成数据库信息泄露,网页被篡改等问题.

接下来通过一个简单的示例来说明sql注入发生的过程。如果在某个系统的登录模块中有如下的验证权限的语句:

select * from 用户表 where name=用户输入的用户名 and password=用户输入的密码;

正常情况下:用户需要输入正确的用户名和密码才能完成登录,但是,如果出现下面这种情况:

select * from 用户表 where name=用户输入的用户名 and password=用户输入的密码 or 1=1;

此时,上述的查询基本失效,因为无论密码对错,用户均可以成功登录,使得程序出现安全隐患,这就是sql注入的一个具体场景。

下面分别是Statement接口和Preparedstatement接口的应用场景:

1.通过使用Statement接口来查询表种数据:

package com.jdbc.bookone;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.ResultSet;
import java.sql.Statement;


public class JdbcOne {
	public static void main(String[] args) {
		try{
		//加载并注册数据库驱动
		Class.forName("com.mysql.jdbc.Driver");
		//获取数据库连接
		Connection connection=DriverManager.getConnection("jdbc:mysql://localhost:3306/MF","root","root");
		//获取sql语句执行者
		Statement statement=connection.createStatement();
		//执行sql语句
		ResultSet resultSet=statement.executeQuery("select * from student");
		//操作结果集
		while(resultSet.next()){
			System.out.println("姓名: "+resultSet.getString("sName")+"  年龄:"+resultSet.getInt("sAge"));
		}
		//回收数据库资源
		connection.close();
		statement.close();
		resultSet.close();
		
		}catch (Exception e) {
			// TODO: handle exception
			e.printStackTrace();
		}
		}
}

2、通过使用PreparedStatement接口来查询表中数据和向表中插入数据:

package com.jdbc.bookone;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class JdbcTwo {

	public static void main(String[] args) {
		// TODO Auto-generated method stub
		//加载驱动
		try{
			Class.forName("com.mysql.jdbc.Driver");
			//获取连接
			Connection connection=DriverManager.getConnection("jdbc:mysql://localhost:3306/MF","root","root");
			//获取sql语句的执行者并执行sql
			PreparedStatement preparedStatement=connection.prepareStatement("select * from student");
			//操作结果集
			ResultSet rs=preparedStatement.executeQuery();
			
			while(rs.next()){
				System.out.println(rs.getString("sAge"));
			}
			
			preparedStatement=connection.prepareStatement("insert into student(sID,sName,sAge) values(?,?,?)");
			preparedStatement.setString(1, "0010");
			preparedStatement.setString(2, "jack");
			preparedStatement.setInt(3, 40);
			preparedStatement.executeUpdate();
			while(rs.next()){
				System.out.println(rs.getString("sName"));
			}
			
			connection.close();
			preparedStatement.close();
			rs.close();
		}catch(Exception e){
			e.printStackTrace();
		}
	}

}

3、通过使用PreparedStatement接口来向表中一次插入多条数据:

package com.jdbc.bookone;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;

public class JdbcThree {

	public static void main(String[] args) {
		// TODO Auto-generated method stub
		try{
			Class.forName("com.mysql.jdbc.Driver");
			Connection connection=DriverManager.getConnection("jdbc:mysql://localhost:3306/MF","root","root");
			PreparedStatement 	preparedStatement=connection.prepareStatement("insert into student(sID,sName,sAge) values(?,?,?)");
		
			for(int i=0 ;i<5;i++){
				
				preparedStatement.setString(1,"010");
				preparedStatement.setString(2, "jack");
				preparedStatement.setInt(3, 8+i);
				
				preparedStatement.addBatch();
				if(i%10==0){
					preparedStatement.executeBatch();
					preparedStatement.clearBatch();
				}
				connection.close();
				preparedStatement.close();
			}
		}catch (Exception e) {
			// TODO: handle exception
			e.printStackTrace();
		}
		}
}

 

撒有啦啦Q
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBC常用类和接口
LocalHost_1的博客
10-18 741
1.定义: JDBC(Java DataBase Connectivity)是一种可用于执行SQL语句的JAVA API,是连接数据库Java应用程序的纽带。 2.JDBC操作数据库步骤: 加载驱动程序 (Class.forName) 建立连接 (DriverManager类 Connection接口) 向数据库发送SQL语句 (Statement接口,PreparedStatement接口,CallableStatement接口) 处理返回结果(ResultSet接口) 关闭连接(Connectio
JDBC常用接口
qq_44912064的博客
12-22 526
1 Connection 代表数据库得链接 Connection 是数据库编程中最重要得一个对象,客户端和数据库所以的交互都是通过 connection 对象完成.常用方法 createStatement():创建数据库发送SQL的statement对象 preparestatement(sql):创建向数据库发送预编译sqlPreparestatement对象 prepareCall(sql):创建执行存储过程的callableStatement对象 setAutoCommit(boolean autoC
Statement 接口和 PreparedStatement接口之间的区别
HaleyTiger的博客
04-08 3784
Statement 接口和 PreparedStatement接口之间的区别 关系: PreparedStatement接口继承自Statement接口区别: PreparedStatement提高了代码的可读性和可维护性。 PreparedStatement使用占位符,容易理解,可读性强,而Statement使用字符串拼接,麻烦而且过长时可读性差。 PreparedState...
Statement接口和PreparedStatement接口区别
qq_43059863的博客
03-06 1398
Statement接口在创建语句对象时,不带参数,进行查询更新操作时,再传入完整的SQL 语句。而PreparedStatement接口创建预处理语句对象时,传入带?的SQL语句,进行查询更新操作时,不带参数。 PreparedStatement接口代码可读性高,无需拼接SQL语句,语句和代码分离。 PreparedStatement接口执行效率高,它预编译和缓存了结构相同的SQL语句,想Str...
JDBC中 preparedStatement接口statement接口区别
qq_38082911的博客
01-18 1157
     preparedStatement接口继承了 statement接口,继承了 statement的所有功能,并提供了一整套方法,用 setXxx()方法来设置输入参数(占位符),并且更改了execute、executeUpdate、executeQuery方法,不再需要参数 preparedStatement 能够进行预编译,多次执行相同的 SQL语句时,比statement效率更高...
Statement和PreparedStatement区别与联系
qq_44456779的博客
07-18 1239
下面简要说明一下他们的区别与联系: 联系: 1.PreParedStatementStatement接口的子接口 2.PreParedStatementStatement都可以实现对数据表的CRUD操作:增删改查 区别: 1.PreparedStatement 可以规避 Statement弊端:①拼串 ②sql注入问题 2.PreparedStatement 可以实现操作Blob类型的数据 3...
preparestatementstatement区别
weixin_39944884的博客
07-19 447
一. PreparedStatementStatement区别 1.不需要sql语句拼接,防止sql注入,更加安全 2.用占位符的方式写sql,便于后期维护,提高代码可读性,可以自动对类型进行转换 3.有预编译功能,可以大批量处理sql,(mysql不明显,Oracle很明显) 4.向数据库中添加一条数据 5.PreparedStatement:用于执行sql语句的对象 6.用co...
JDBCStatement接口和PreparedStatement接口的差异性
programmer123455的博客
10-29 743
Statement:用于执行SQL语句的工具接口。该对象及可以执行DDL/DCL语句,也可以用于执行DML语句,还可以用于执行SQL查询,返回查询到的结果集。常用方法如下:                 ResultSet executeQuery(String sql)throws SQLException:该方法用户执行查询语句,并返回查询结果对应的ResultSet对像。该方法只能用于执
实习日记19/06/26——JDBC增删改查及初步封装
qq_45313286的博客
06-26 226
JDBCJava DataBase Connectivity,Java数据库连接)是应用程序与数据库连通的桥梁,基本操作为增、删、改、查,其功能可以进行封装,将其模块化管理,提高工作效率。 一、在数据库查询数据 public class Query { public static void main(String[] args) { Connection conn ...
jdbc向各种数据库发送sql语句
weixin_33851604的博客
01-03 1560
1.有了JDBC,向各种关系数据发送SQL语句就是一件很容易的事。换言之,有了JDBC API,就不必为访问Sybase数据库专门写一个程序,为访问Oracle数据库又专门写一个程序,或为访问Informix数据库又编写另一个程序等等,程序员只需用JDBC API写一个程序就够了,它可向相应数据库发送SQL调用。   2. 1.javajdbc类包括,DriverManager,Conn...
preparedStatementStatement区别及联系
最新发布
一枚数学专业的小码农的博客
08-31 6778
JDBC中preparedstatementstatement中的区别
Statement接口与PreparedStatement接口使用区别
weixin_45335305的博客
07-18 1001
1、PreparedStatement接口Statement接口的一个子类 2、PreparedStatement接口Statement接口更安全,解决用户名为 1‘ or ‘1’='1 的SQL安全性问题 3、其中 ?叫 通配符 或 占位符 4、在使用时两者不同 ...
数据库笔记(接口和SQL语句)
06-06 6010
一、接口            A、查询语言                        形式化查询语言、表格式查询语言、图形化查询语言、受限的自然语言查询                        关系查询语言基础:关系代数、关系演算                        SQL(结构化查询语言、标准查询语言)                            1、数据定义语言...
JavaWeb练习题答案
Lvruoyu的博客
04-27 4566
JavaWeb练习题答案 选择 超链接指向的地址写在哪个属性里 © A. Value B. url C. Href D. Action 在表单中添加隐藏域时,需要设置标记的type属性值为 (B) A. Hidden B. submit C. Text D. File 不是JSP运行必须的是 (D) A. 操作系统 B. Java JDK C. 支持Jsp的Web服务器 D. 数据库 下面哪种是B/S结构 (B) A. 数据库/服务器 B. 浏览器/服务器 C. 控制
Statement和PreparedStatement区别
一只大鹏鹏的博客
07-21 1万+
区别: 1、PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3、statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement预编译得, preparedstatement支持...
数据库事务相关
Vampire的博客
08-11 246
事务管理: 事务的4大特性:简称acid 1.原子性(atomicity) 原子性是指事务包含的所有操作要么全部成功,要么全部失败回滚 比如: 以银行转账为例,一次转账包含两个update更新语句 update t_balance set 余额=余额-1000 where card_id='11111'; update t_balance set 余额=余额...
Statement 和 PreparedStatement之间的关系和区别
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
PreparedStatementStatement的对比?
weixin_44250157的博客
03-02 328
一.概念 Statement陈述对象: 提供在基层已经建立连接的基础上运行SQL语句,实际有三种Statement对象 1.Statement:用于执行不带参数的简单 SQL 语句。 2.PreparedStatement(它从 Statement 继承而来,包含其中的所有方法):于执行带或不带参数的预编译 SQL 语句。 3.CallableStatement(它从 PreparedStatem...
Statement和PreparedStatement有什么区别?哪个性能更好?
毛凡的博客
05-16 8583
Statement相比: ①PreparedStatement接口代表预编译的语句,它主要的优势在于可以减少SQL的编译错误并增加SQL的安全性(减少SQL注射攻击的可能性); ②PreparedStatement中的SQL语句是可以带参数的,避免了用字符串连接拼接SQL语句的麻烦和不安全; ③当批量处理SQL或频繁执行相同的查询时,PreparedStatement有明显的性能上的优势,
数据库连接池学习笔记(一):原理介绍+常用连接池介绍
热门推荐
CrankZ的博客
09-27 7万+
什么是连接池 数据库连接池负责分配、管理和释放数据库连接,它允许应用程序重复使用一个现有的数据库连接,而不是再重新建立一个。 为什么要使用连接池  数据库连接是一种关键的有限的昂贵的资源,这一点在多用户的网页应用程序中体现得尤为突出。  一个数据库连接对象均对应一个物理数据库连接,每次操作都打开一个物理连接,使用完都关闭连接,这样造成系统的 性能低下。 数据库连接池的解决方案是在应用程序启动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值