Mysql JDBC(执行sql的对象) 预编译PreparedStatement接口_区别于Statement接口

最新推荐文章于 2022-11-22 13:34:57 发布
最新推荐文章于 2022-11-22 13:34:57 发布
阅读量282 收藏
点赞数
文章标签: mysql jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51444577/article/details/118108671
版权

预编译PreparedStatement  使用范围:一次需要更新数据库表多条记录,当执行相似sql语句的次数比较多(对表频繁操作)语句一样,只是具体的值不一样,被称为动态SQL

SQL语句具有一个或多个输入参数,这些输入参数的值在SQL语句创建时未被指定,而是为每个输入参数保留一个问号("?")作为占位符。

Statement:

用于执行静态 SQL 语句并返回它所生成结果的对象

创建Statement对象时,如果用SQL语句做参数,则在执行SQL语句时会一起被解析和编译进去

当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译。

PreparedStatement:

1、可以写动态参数化的查询

2、提高使用效率:语句只编译一次,减少编译次数。

3、提高安全性:可以防止SQL注入式攻击

传入的任何参数(数据)都不会和已经编译的SQL语句进行拼接在一起编译,传入的内容不会和原来语句发关系,避免了SQL注入隐患。

例:

一些恶义的SQL语法

String sql=String.format(" select * from student 
where stuName= '%S' and stuPassword='%s'",name,password);

 如果我们把[ 1 or 1 = 1 ]作为password传入进来,因为’1’=’1’肯定成立,所以可以通过任何验证

如果你使用预编译语句,你传入的任何内容就不会和原来的语句发生任何匹配的关系,

用不着对传入的数据做任何过虑

String sql="select from student where stuName = ? and stuPassword = ? ";

PreparedStatement  ps=conn.PrepareStatement( sql );

数据库系统会对sql语句进行预编译处理(如果JDBC驱动支持的话),预处理语句将被预先编译好,这条预编译的sql查询语句能在将来的查询中重用.

a.๓
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SQL语句预编译
yushui的笔记本
04-22 1万+
SQL语句预编译一、预编译SQL语句处理预编译语句PreparedStatement 是java.sql的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该
JDBC执行SQL语句的Java API
01-02
JDBC执行SQL语句的Java API。其实,JDBC本身是一个产品的商标名。相对与ODBC(Open Database Connectivity开放数据库连接),也可以把JDBC看作“Java Database Connectivity(Java数据库连接)”。它由一组用Java语言编写的类与接口组成。JDBC已成为一种供工具/数据库开发者使用的标准API,用户可以用纯Java API来编写数据库应用。
Mysql预编译SQL
Donald_Draper
12-05 374
JDBC驱动初始化-Mysql:[url]http://donald-draper.iteye.com/blog/2342010[/url] JDBC连接的获取:[url]http://donald-draper.iteye.com/blog/2342011[/url] Mysql负载均衡连接的获取:[url]http://donald-draper.iteye.com/blog/234208...
PreparedStatement原理
m0_46596099的博客
07-22 325
PreparedStatement好处预编译SQL,性能更高防止SQL注入==将敏感字符进行转义==Java代码操作数据库流程将sql语句发送到MySQL服务器端MySQL服务端会对sql语句进行如下操作检查SQL语句。检查SQL语句的语法是否正确。编译SQL语句。将SQL语句编译成可执行的函数。检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语。...
关于JDBCStatement执行sql对象
weixin_44877226的博客
03-21 295
1.执行sql ​ 1.boolean execute(String sql):可以执行任意的sql (了解就好) ​ 2.int executeUpdate(String sql):执行DML(inster、update、delete)语句、DDL(create、alter、drop)语句 执行给定 SQL 语句,该语句可能为 INSERT、UPDATE 或 DELETE 语句,或者...
Java使用Statement接口执行SQL语句操作实例分析
08-27
需要注意的是,Statement接口虽然简单易用,但它不支持预编译SQL语句,因此容易受到SQL注入攻击。在处理用户输入时,推荐使用PreparedStatement接口,它可以提高安全性并提供更好的性能。 总结起来,Java的...
Mysql JDBC驱动 .zip_MYSQL_jdbc mysql_mysql jdbc_mysql jdbc driver_
09-20
Connection对象表示到数据库的连接,Statement用于执行SQL语句,而PreparedStatement则允许预编译SQL语句,提高性能并防止SQL注入攻击。ResultSet是查询结果的容器,用于遍历查询返回的数据。 **2. MySQL JDBC驱动...
jdbc.zip_JDBC mysql java_mysql jdbc
09-20
4. **Statement与PreparedStatement**:两种执行SQL的方式,Statement用于简单查询,PreparedStatement用于预编译SQL,提高效率并防止SQL注入。 5. **SQL操作**:包括插入(INSERT)、删除(DELETE)、更新(UPDATE...
一文搞懂MySQL预编译
09-08
在Java,可以使用PreparedStatement接口实现MySQL预编译。以下是一个简单的示例: ```java Connection con = JdbcUtils.getConnection(); String sql = "select * from t_book where bid=?"; PreparedStatement ...
JDBC.rar_mysql jdbc
09-20
7. **预编译的PreparedStatement**: 对于重复执行SQL语句,可以使用`PreparedStatement`,它允许在SQL语句预定义参数,提高性能和安全性。 8. **事务管理**: JDBC支持事务控制,如`Connection`的`setAutoCommit...
PreparedStatement 接口创建表示预编译SQL 语句的对象
CatJava.Net专栏
01-29 1879
PreparedStatement 接口PreparedStatement 接口创建表示预编译SQL 语句的对象SQL 语句经过预编译,并存储在 PreparedStatement 对象。然后,此对象可用来有效地多次执行此语句。 java.sql 包 公共接口 PreparedStatement 扩展“语句” 表 101 列示 PreparedStatement
mysql预编译SQL语句_Oralce预编译Sql语句在JDBC的处理
weixin_35695430的博客
01-28 187
预编译接口PreparedStatement是java.sql的一个接口,它是Statement的一个自接口Statement执行Sql语句时,需要将完整的Sql发送一、预编译SQL语句处理预编译接口PreparedStatement是java.sql的一个接口,它是Statement的一个自接口Statement执行Sql语句时,需要将完整的Sql发送给数据库数据库经过编译后再执行。...
JDBC之PreparedStatement接口
a3060858469的博客
09-26 647
PreparedStatement接口继承自Statement接口,用于执行含有或不含有参数的预编译SQL语句,相对于Statement接口,用于执行静态SQL语句,PreparedStatement接口SQL语句是预编译的,重复执行的效率会比较高。 创建执行SQL的语句(Statement) Statement与PreparedStatement区别 方式一:Statement...
PreparedStatement预编译)和Statement区别
m0_51649818的博客
09-02 191
1、语法不同 PreparedStatement可以使用预编译sql,只需要发送一次sql语句,后面只要发送参数即可,公用一个sqlStatement只能使用静态的sql。 2、效率不同 PreparedStatement使用了sql缓冲区,效率要比Statement高。 3、安全性不同 PreparedStatement可以有效防止sql注入,而Statement不能防止sql注入。 ...
MySQLStatement实现及PreparedStatement实现
Shouhudaxiaojie的博客
08-08 223
Statement实现 Connection conn = null; Statement stmt = null; try { conn = DBUtil.getConnection(); stmt = conn.createStatement(); stmt.addBatch("insert into test_jdbc (id,name,money) values(21,'stmt多条测试1',99.12)"); stmt.addBatch("insert into t
Mysql-jdbc-PreparedStatement对象
最新发布
A_Fierce的博客
11-22 333
PrepareedStatement 可以防止SQL注入..........其他的类似,只需要改sql语句和手动给参即可。删除类似:更新:..............
MySQL-SQL注入问题(预编译处理)
Just__2009的博客
10-19 826
当服务器向数据发送访问请求,在sql语句夹杂特殊字符,在与查询语句进行拼接时,导致sql语句产生了歧义。 当用户登陆时,加入输入的帐号或密码并不存在,但是在帐号或密码输入如下: a' or 'a'='a 此时结果会显示为登陆成功。 原查询语句: select name from users where username=‘帐号’ and password = ‘密码’ 拼接后 select name from users where username=‘123’ and password = ‘a’
MySQL学习记录11JDBCstatement对象SQL注入问题与PreparedStatement对象
asdfghjkl_zth的博客
02-13 483
文章目录MySQL学习记录11JDBCstatement对象SQL注入问题与PreparedStatement对象11.1statement对象11.1.1代码实现(增删改查)11.1.2SQL注入问题11.1.2.1SQL注入攻击的总体思路11.2PreparedStatement对象 MySQL学习记录11JDBCstatement对象SQL注入问题与PreparedStatement对象 11.1statement对象 Jdbcstatement对象用于向数据库发送SQL语句,想完成对数据库
怎么创建JDBC语句对象执行SQL语句(详解)
Feng0811xin的博客
11-22 5213
JDBC执行SQL语句: 一旦获得了链接,我们可以与数据库进行交互。JDBC Statement和PreparedStatement 接口定义了使 您能发送SQL命令并从数据库 进行接收数据的方法和属性。 1.Statement:创建语句对象 在使用Statement对象执行SQL语句之前,需要使用Connection对象的createStatement()方法来创建 在创建Statem...
Java JDBC基础教程:数据库编程接口详解
- 其他关键接口和类:包括`Connection`(表示到数据库的会话)、`Statement`(执行SQL语句)、`PreparedStatement`(预编译SQL语句,提高性能)、`ResultSet`(存储查询结果)等。 5. JNDI和数据库连接池 - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值