使用PreparedStatement优势

最新推荐文章于 2024-09-26 10:53:28 发布
最新推荐文章于 2024-09-26 10:53:28 发布
阅读量138 收藏
点赞数 2
分类专栏: Java常见问题 文章标签: sql mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42195589/article/details/125352442
版权

PreparedStatement

PreparedStatement 好处

  • 预编译SQL,性能更高
  • 防止SQL注入:将敏感字符进行转义

SQL注入:SQL注入是通过操作输入来修改实现定义好的SQL语句,用以达到执行代码对服务器进行攻击的方法。

SQL注入问题:

'or '1'= '1

password = ''or '1'= '1'

PreparedStatement会帮我们把字符转义,就解决了sql注入的问题

password = '\'or \'1\'= \'1\'

PreparedStatement预编译功能开启:useServerPrepStmts=true

配置MySQL执行日志(重启sql服务后生效)将下列部分添加到 my.in 目录下

log-output=FILE
general-log=1
general_log_file="D:\mysql.log"
slow-query-log=1
slow_query_log_file="D:\mysql_slow.log"
long_query_time=2

在这里插入图片描述

查看D盘中的日志文件,即可看到编译期已经进行转义,防止sql注入了。

当我们开启预编译

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JbnkUt8b-1655561728825)(C:\Users\72442\AppData\Roaming\Typora\typora-user-images\image-20220618165704423.png)]

查看日志文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GWCQW957-1655561728827)(C:\Users\72442\AppData\Roaming\Typora\typora-user-images\image-20220618170309354.png)]

可以看出获取pstm对象的时候,就已经预编译了,执行时直接执行,预编译只进行一次。

PreparedStatement原理总结

  • 在获取PreparedStatement对象时,将sql语句发送给mysql服务器进行检查,编译(这些步骤很耗时)
  • 执行时就不用进行这些步骤了,速度很快。
  • 如果sql模板一样,只需要进行一次检查、编译。

PreparedStatement使用

  1. 获取PreparedStatement对象
// SQL语句中的参数值,使用?占位符替代
String sql = "select * from user where username = ? and pssword = ?";
// 通过Connection 对象获取,并传入对应的sql语句
PreparedStatement pstm = conn.prepareStatment(sql);
  1. 设置参数值
PreparedStatement对象:setXxx(参数1,参数2):给?赋值
Xxx:数据类型
参数:参数1:?的位置编号,从1开始
	 参数2:?的值
  1. 执行sql
executeUpdate/executeQuery();	不需要传递sql

        //加载驱动类
        Class.forName("com.mysql.jdbc.Driver");
        //创建连接
        String url = "jdbc:mysql://127.0.0.1/jdbc?characterEncoding=utf-8";
        String username = "root";
        String password = "791345";
        Connection conn = DriverManager.getConnection(url,username,password);
        //书写sql
        String name = "小何";
        String pswd = "123456";
        String sql = "select * from db1 where name = ? and password = ?";
        //准备发送sql的工具
        PreparedStatement pstm = conn.prepareStatement(sql);
        pstm.setString(1,name);
        pstm.setString(2,pswd);
        //发送sql
        ResultSet rs = pstm.executeQuery();
        if(rs.next()){
            System.out.println("登陆成功");
        }else{
            System.out.println("登陆失败");
        }
        //释放资源
        rs.close();
        pstm.close();
        conn.close();
    }
禾苗码上
关注
专栏目录
JDBC——使用PreparedStatement实现CRUD操作
weixin_54226473的博客
12-21 681
目录 为什么选择使用PrepareStatement而不选择Stament? 使用PreparedStatement实现增、删、改操作 使用PreparedStatement实现查询操作 为什么选择使用PrepareStatement而不选择Stament? Statement也可以用来进行操作数据,但是我们更推荐使用PreParedStatement主要从两个方面来讲: 一:使用Statement操作数据表存在弊端: 问题1:存在拼串操作,繁琐 问题2:存...
PreparedStatementStatement
03-22
总结,`PreparedStatement`和`Statement`在Java数据库操作中各有优势。在追求性能、安全性和代码可读性时,`PreparedStatement`通常是更好的选择,而`Statement`适用于简单的、一次性执行的SQL语句。理解并适当地...
PreparedStatement的基本介绍与使用
薯条和番茄酱的博客
10-25 3538
1.PreparedStatement执行的SQL语句中的参数用?表示,调用PreparedStatement对象的setXxx()方法设置这些参数。setXxx()有两个参数,第一个参数是要设置SQL语句中的参数的索引从1开始,第二个是设置的SQL语句中的参数的值例如:2.调用,返回ResultSet对象3.调用,执行更新,包括增删改查。
你不知道的PreparedStatement预编译
布道
11-28 7404
大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,大致知道mybatis底层使用PreparedStatement,过程是先将带有占位符(即”?”)的sql模板发送至mysql服务器,由服务器对此无参数的sql进行编译后,将编译结果缓存,然后直接执行带有真实参数的sql。如果你的基本结论也是如此,那你就大错特错了。 目录 1. mysql是否默认开启了预编译功...
Java数据库JDBC——prepareStatement的用法和解释
热门推荐
nnzhuilian的博客
01-10 14万+
转自:http://blog.csdn.net/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
JDBC笔记3(基础—预编译语句(PreparedStatement))
wangshiqi666的博客
10-15 1679
使用预编译PreparedStatement语句来执行SQL语句。
PreparedStatement使用
mofeigege的博客
11-03 1万+
PreparedStatement介绍 可以通过调用 Connection 对象的 prepareStatement(String sql) 方法获取 PreparedStatement 对象 PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句 PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示(?在SQL中表示占位符),调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数.
练习3:使用PreparedStatement插入宠物信息.zip
08-27
PreparedStatement的主要优势在于它的预编译能力和防止SQL注入的能力,使得代码更加安全和高效。 首先,我们需要了解PreparedStatement的工作原理。PreparedStatement对象允许程序员将SQL语句作为模板,其中包含一...
使用PreparedStatement访问数据库
12-14
使用`PreparedStatement`有以下优势: - **安全**:因为它可以防止SQL注入攻击。问号占位符的方式使得用户输入的数据不会与SQL语法混淆,从而避免了恶意输入可能导致的安全问题。 - **效率**:预编译的SQL语句在...
Java连接MySQL数据库使用PreparedStatement的5大优势:提升代码安全性和性能
!...# 1. Java连接MySQL数据库概述 Java通过JDBC(Java Database Connectivity)连接MySQL数据库,JDBC提供了一组标准的Java API,允许Java程序访问和操作数据库。...1. **加载MySQL JDBC驱动程序:**使用`Class
Java程序设计——PreparedStatement接口和CallableStatement接口(JDBC编程)
Mr_John
07-04 1025
PreparedStatement两大特点:执行带参数的SQL语句之前需要对占位符‘?’参数进行赋值,PreparedStatement提供setXXX()方法进行赋值 CallableStatement接口:用于执行数据库中的存储过程(数据库中一种特殊的预编译的SQL语句)三种带参数的存储过程:调用无返回值的存储过程: 调用有返回值的存储过程: 示例: CallableStatement接口通过setXXX()方法对IN参数进行赋值,通过registerOutParameter()方法对O
JDBC - 第3章:使用PreparedStatement实现CRUD操作
Syntactic Sugar
07-29 271
使用PreparedStatement实现CRUD操作 1 操作和访问数据库 数据库连接被用于向数据库服务器发送命令和 SQL 语句,并接受数据库服务器返回的结果。其实一个数据库连接就是一个Socket连接。 在 java.sql 包中有 3 个接口分别定义了对数据库的调用的不同方式: ●Statement:用于执行静态 SQL 语句并返回它所生成结果的对象。 ●PrepatedStatementSQL 语句被预编译并存储在此对象中,可以使用此对象多次高效地执行该语句。 ●CallableStateme
PreparedStatement 简介
u013738122的博客
11-25 1万+
PreparedStatement 使用示例 stringsql = "select * from people p where p.id = ? and p.name = ?"; preparedstatement ps = connection.preparestatement(sql); //setxxx() 方法的第一个参数表示 ? 所在的位置,从1开始计算,第二个参数表示对应的值 ps....
JDBC(4)—Preparedstatement
weixin_30609287的博客
07-24 175
功能:使用PreparedStatement操作数据表,其功能与Statement一致,但为何要使用PreparedStatement呢。 一、原因: 1.使用sql语句进行操作数据表时,需要拼写sql语句,在拼写时容易出错,且不易排查,所以使用PreparedStatement *操作数据表时,降低sql语句的拼写难度,简化拼写sql语句的步...
JDBC学习笔记(4)——PreparedStatement使用
weixin_34232363的博客
05-04 841
PreparedStatement public interface PreparedStatement extends Statement;可以看到PreparedStatementStatement的子接口,我们在执行查询或者更新数据表数据的时候,拼写SQL语句是一个很费力并且容易出错的事情,PreparedStatement可以简化这样的一个过程. PreParedStatement1...
SQL 查询优化与实战
最新发布
qq_63170044的博客
09-26 968
SQL 查询优化不仅仅是提高系统性能的重要手段,更是确保数据库在高并发环境下稳定运行的核心技能。通过合理使用索引、优化。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值