数据库JDBC——PreparedStatement和Statement的区别和使用

最新推荐文章于 2023-07-12 18:24:38 发布
最新推荐文章于 2023-07-12 18:24:38 发布
阅读量636 收藏
点赞数 1
分类专栏: MySQL 文章标签: mysql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/single_0910/article/details/110087283
版权

文章目录

PreparedStatement和Statement的区别

PreparedStatement对象:
  • 预编译的 SQL 语句对象,只编译一次,
  • 支持批量处理,可将SQL语句装载到一起,然后一次送到数据库执行,效率极高 (addBatch()方法)
  • 防止SQL注入

注意:如果是一次性操作(增删改查),PreparedStatement的开销比Statement大

Statement对象:
  • 执行静态 SQL 语句并返回它所生成结果的对象。
  • 不支持批量处理,每次执行都需编译SQL语句,效率低下
  • 数据库不安全(SQL注入

一、PreparedStatement的批量操作

        //获取连接
        conn = JDBCUtils.getConnection();
        String sql = "insert into user(username,password) values(?,?)";
        ps = conn.prepareStatement(sql);
        //批量添加五条记录
        for (int i = 0; i < 5; i++) {
            ps.setString(1,"菠菜饭团00"+i);
            ps.setString(2,"work00"+i);
            ps.addBatch();
        }
        //如果执行成功,counts里存的都是1
        int[] counts = ps.executeBatch();

二、Statement的SQL注入演示

1.登录界面

在这里插入图片描述
用户名:dfhsisdfs(瞎写的)
密码:a' or 'a' = 'a

2.后台代码示例

        //获取连接
        conn = JDBCUtils.getConnection();
        //拼接静态SQL语句
        String sql = "select * from user where username= '"+username+"' and password= '"+password+"'";
        //select * from user where username= 'dfhsisdfs' and password= 'a' or 'a' = 'a'
        System.out.println(sql);
        statement = conn.createStatement();
        rs = statement.executeQuery(sql);
        //判断结果集是否有数据
        while(rs.next()){
           username =  rs.getString("username");
           password =  rs.getString("password");
           System.out.println(username+"---"+password);
        }
        //释放资源
        JDBCUtils.close(rs,ps,conn);

打印的SQL语句为:select * from user where username= 'dfhsisdfs' and password= 'a' or 'a' = 'a'

这条语句的右边是个恒等式,相当于false or true,其结果为true,因此该语句总会被执行,最终获取到数据中user表中的所有信息。

总结

  • PreparedStatement可通过占位符解决SQL注入问题
  • PreparedStatement支持批量操作,效果高,性能卓著
  • PreparedStatement代码的可读性和可维护性比Statement优异
  • 任何时候都不要使用Statement

  若要实现mysql的批量执行功能,需要在url 后面添加:rewriteBatchedStatements=true。
  如果不添加的话addbatch() ,executeBatch() 在后台入库时并不会一次请求入库而是多次请求入库。
layman .
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
JDBC中的Statement和PreparedStatement区别
qq_44906504的博客
04-14 179
JDBC中的Statement和PreparedStatement区别
JDBC中PreparedStatement(预编译)和Statement区别
m0_51649818的博客
08-06 2414
文章目录一、区别二、以PreparedStatement为例子的代码三、对于sql语句中非法的输入两种方式的比较1、Statement代码2、PreparedStatement代码 一、区别 1、语法不同: PreparedStatement可以使用预编译的sql,只需要发送一次sql语句,后面只要发送参数即可,公用一个sql语句。Statement只能使用静态的sql。 2、效率不同: PreparedStatement使用了sql缓冲区,效率要比Statement高。 3、安全性不同: Prepare
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 2905
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
PrepareStatement用法(附源码解析)
Sherlock1020的博客
08-11 5556
PrepareStatement 基本用法 与 SQL注入分析
掌握数据库操作的关键技巧:深入解析prepareStatement方法
最新发布
2301_77478553的博客
07-12 4232
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement区别:1. preparedStatement可以写动态参数化的查询。
prepareStatement使用
weixin_44720982的博客
05-06 4616
使用prepareStatement完成数据库增删改查功能
Java数据库连接——JDBC
12-14
JDBC允许Java应用程序执行SQL语句,进行数据查询、插入、更新和删除操作,从而实现对数据库的管理。 JDBC API支持两种基本的数据库访问模型:两层模型(C/S,Client/Server)和三层模型(B/S,Browser/Server)。在...
javaweb学习总结——使用JDBC处理MySQL大数据
09-01
本篇文章聚焦于使用JDBC处理MySQL中的大数据,特别是涉及大文本(CLOB)和二进制大对象(BLOB)的存储。 一、基本概念 在数据库中,BLOB类型被用来存储非结构化的二进制数据,如图片、音频文件或PDF文档。MySQL...
适用SQL Server 2016版本的数据库加载驱动包——sqljdbc42.jar
03-03
`sqljdbc42.jar`是一个Java数据库连接(JDBC)驱动包,专为与SQL Server 2016配合使用而设计。JDBC是Java平台的一部分,允许Java开发者通过编写Java代码来访问和处理关系数据库。驱动包中的类和接口实现了JDBC规范,...
每天十道面试题(五)——JDBC数据库编程部分
12-14
JDBC数据库编程知识点】 ...了解这些JDBC基础知识对于理解和使用Java进行数据库操作至关重要,也是面试中常见的考察点。熟悉这些知识点能帮助开发者编写高效、安全且易于维护的数据库应用程序。
PreparedStatement详细用法
11-22
PreparedStatement详细用法
加载数据库jdbc
01-26
总结来说,"加载数据库jdbc"涉及了Java编程中的一个重要方面——数据库连接。通过理解JDBC API,开发者可以编写出高效且可移植的代码来与SQL Server这样的关系型数据库进行交互。确保正确安装和配置JDBC驱动,以及...
prepareStatement介绍与使用
瑛民星的专栏
03-06 1万+
它表示预编译的SQL语句的对象,其中SQL语句被预编译并且存储在PreparedStatement对象中。然后可以使用此对象高效地多次执行该语句。 例子: (1)PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES SET SALARY = ? WHERE ID = ?"); (2)pstmt.setBigDecim
statement 、prepareStatement的用法和解释
bit-cafe
09-06 2万+
一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.stateme
PrepareStatement的用法
qian_123456的专栏
12-21 5037
PrepareStatementStatement的一个子接口,可以预编译SQL语句,预编译后的语句被存储在PrepareStatement的对象中,从而可以使用该对象多次高效的执行该SQL语句。并且PrepareStatement可以使用占位符编写SQL语句。下面是一个结合了Statement和PrepareStatement的程序: package perpared; import ja
PreparedStatement的基本介绍与使用
薯条和番茄酱的博客
10-25 3387
1.PreparedStatement执行的SQL语句中的参数用?表示,调用PreparedStatement对象的setXxx()方法设置这些参数。setXxx()有两个参数,第一个参数是要设置SQL语句中的参数的索引从1开始,第二个是设置的SQL语句中的参数的值例如:2.调用,返回ResultSet对象3.调用,执行更新,包括增删改查。
java中jdbc技术_详解Java连接数据库JDBC技术中的prepareStatement
weixin_30002151的博客
02-28 708
详解Java连接数据库JDBC技术中的prepareStatement发布时间:2020-07-18 09:14:24来源:亿速云阅读:107作者:小猪这篇文章主要是详解Java连接数据库JDBC技术中的prepareStatement,内容清晰明了,对此有兴趣的小伙伴可以学习一下,相信大家阅读完之后会有帮助。一、prepareStatement 的用法和解释1.PreparedStatement...
Java数据库JDBC——prepareStatement的用法和解释
热门推荐
nnzhuilian的博客
01-10 14万+
转自:http://blog.csdn.net/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
JAVA【JDBC】【使用PreparedStatement操作数据库
芊樱烛渊的博客
08-07 4766
这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值