JDBC中的预编译语句

最新推荐文章于 2023-06-25 11:17:23 发布
最新推荐文章于 2023-06-25 11:17:23 发布
阅读量3k 收藏 2
点赞数 1
分类专栏: 程序开发 文章标签: jdbc sql 数据库 table string import

JDBC中的预编译语句

2008-12-18 23:42:08
 标签: JDBC 预编译 语句   [ 推送到技术圈]

什么是预编译语句
预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编译语句被执行时,DBMS直接运行编译后的SQL语句,而不需要像其他SQL语句那样首先将其编译。
什么时候使用预编译语句
一般是在需要反复使用一个SQL语句时才使用预编译语句,预编译语句常常放在一个for或者while循环里面使用,通过反复设置参数从而多次使用该SQL语句;为了防止SQL注入漏洞,在某些数据操作中也使用预编译语句。
为什么使用预编译语句
1、提高效率
当需要对数据库进行数据插入、更新或者删除的时候,程序会发送整个SQL语句给数据库处理和执行。数据库处理一个SQL语句,需要完成解析SQL语句、检查语法和语义以及生成代码;一般说来,处理时间要比执行语句所需要的时间长。预编译语句在创建的时候已经是将指定的SQL语句发送给了DBMS,完成了解析、检查、编译等工作。因此,当一个SQL语句需要执行多次时,使用预编译语句可以减少处理时间,提高执行效率。
2、提高安全性
恶意的SQL语句
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我们把[' or '1' = '1]作为varpasswd传入进来.用户名随意,看看会成为什么?
select * from tb_name = '随意' and passwd = '' or '1' = '1';因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者:
把[';drop table tb_name;]作为varpasswd传入进来,则:select * from tb_name = '随意' and passwd = '';drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.
而如果你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.只要全使用预编译语句,你就用不着对传入的数据做任何过虑.而如果使用普通的statement,有可能要对drop,;等做费尽心机的判断和过虑.
预编译语句的使用
1、创建 PreparedStatement 对象
       以下的代码段(其中 con 是 Connection 对象)创建包含带两个 IN 参数占位符的 SQL 语句的 PreparedStatement 对象:
  PreparedStatement pstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?");
  pstmt 对象包含语句 "UPDATE table4 SET m = ? WHERE x = ?",它已发送给DBMS,并为执行作好了准备。
2、传递 IN 参数
    在执行 PreparedStatement 对象之前,必须设置每个 ? 参数的值。这可通过调用 setXXX 方法来完成,其中 XXX 是与该参数相应的类型。例如,如果参数具有Java 类型 long,则使用的方法就是 setLong。setXXX 方法的第一个参数是要设置的参数的序数位置,第二个参数是设置给该参数的值。例如,以下代码将第一个参数设为 123456789,第二个参数设为 100000000:
  pstmt.setLong(1, 123456789);
  pstmt.setLong(2, 100000000);
一旦设置了给定语句的参数值,其值将一直保留,直到被设置为新值或者调用clearParameters()方法清除它为止。
示例:
import java.sql.*;
public class PreparedTest{
Connection con=null;
PreparedStatement update=null;
public void test(){
String sql="UPDATE STUDENT SET AGE=? WHERE ID=?";
try{
Class.forName("sun.jdbc.odbc.JdbcOdbcDriver");
con=DriverManager.getConnection("jdbc:odbc:stu","name","password");
}catch(ClassNotFoundException e){}
catch(SQLException ex){}
try{
update=con.prepareStatement(sql);
for(int i=0;i<6;i++){
update.setInt(1,i+18);
update.setInt(2,i);
update.executeUpdate();
}
update.close();
con.close();
}catch(SQLException ex){}
}
}
thunder09
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL WHERE IN参数化编译写法简单示例
09-09
主要给大家介绍了关于SQL WHERE IN参数化编译写法的相关资料,文通过示例代码介绍的非常详细,对大家学习或者使用SQL具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
JDBC笔记3(基础—预编译语句(PreparedStatement))
wangshiqi666的博客
10-15 1635
使用预编译PreparedStatement语句来执行SQL语句
java预编译语句_JDBC04----预编译语句介绍
weixin_42339801的博客
02-24 747
sql的拼接很麻烦,且容易出错,因此就可以使用预编译语句。接口java.sql.Statement有两个子接口:CallableStatement,PreparedStatement有两种类型的sql语句:1.静态sql在执行之前就知道了sql语句的形式。2.动态sql一. Statement接口的实现类1. PreparedStatementPreparedStatement用于预编译模板SQL...
JDBC预编译语句
苍月
02-28 1万+
什么是预编译语句 预编译语句PreparedStatement 是java.sql的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编译语句被执行时
JDBC之PreparedStatement类预编译的综合应用解析
09-05
SQL 语句预编译并存储在 PreparedStatement 对象。然后可以使用此对象多次高效地执行该语句
02-JDBC-DAO与预编译语句.xmind
04-23
JDBC进阶1
MySQL预编译功能详解
12-16
 大家平时都使用JDBC的PreparedStatement接口,它有预编译功能。什么是预编译功能呢?它有什么好处呢?  当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译...
JDBC的常用方法
12-14
在上一篇文章我们讲了一些基本使用JDBC-DBCP-MYBATIS。 1.防止SQL注入 我们在写sql语句时,为了方便可能会进行拼接字符串,这样做的...//使用预编译对象进行预编译,就不使用原始的Statement对象 PreparedStatement pr
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
PreparedStatement 输出SQL语句
kingwin28的博客
02-13 1047
PreparedStatement 输出SQL语句
preparestatment获取sql_利用JDBC的PrepareStatement打印真实SQL的方法详解
weixin_39716971的博客
12-19 897
前言本文主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的相关内容,分享出来供大家参考学习,下面来一起看看详细的介绍:我们知道,JDBC 的 PrepareStatement 优点多多,通常都是推荐使用 PrepareStatement 而不是其基类 Statment。PrepareStatement 支持 ? 占位符,可以将参数按照类型转自动换为真实的值。既然这一...
JDBC连接数据库的原理及预编译详解
帅气的鎏氓兔
09-06 2527
一、JDBC基础知识                 JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC数据库开发人员提供了一个标准的API,据此可以构建更高级的工具和接口,使数据库开发人员能够用纯 Java API 编写数据库
JDBC小记——SQL注入及预编译操作对象、批处理
最新发布
m0_63138660的博客
06-25 671
首先建一个工具包,在里面定义JBDC工具类但是,数据库、用户名和密码总不是固定不变的,当我们需要去改变时,需要打开这个工具类来改变数据,不如我们创建一个配置文件,使用配置文件来读取数据、修改数据来的方便。1.创建配置文件2.配置3.在工具类使用配置文件。
JDBCJDBC如何实现预处理SQL
后端研发工程师Marion的博客
03-20 806
2. 在PreparedStatement对象上调用setXXX()方法,为SQL语句的参数设置值。其XXX表示Java数据类型,例如setString()用于设置字符串类型参数,setInt()用于设置整型参数等等。首先创建了一个预处理语句对象pstmt,然后使用setInt()方法设置第一个参数为1,最后执行executeQuery()方法获取查询结果。3. 在PreparedStatement对象上调用executeQuery()或executeUpdate()方法来执行SQL语句
JDBC PreparedStatement setString IN 传多个参数
asuyunlong的专栏
07-11 5277
使用JDBCPreparedStatement 进行SQL预编译时,发现使用IN(String) 传入一个字符串(逗号为分隔符),查询结果不正确。 以下面SQL为例,进行测试。 SELECT * FROM EMP T WHERE T.ENAME IN ('BLAKE', 'ADAMS') Java通过 ? 占位符传参。 错误的方式: 直接传入一个拼接字符串。因为会把拼接的字符串当作一个元素去查询。 测试未通过的方式: PreparedStatement statement = con.
JDBC预编译PreparedStatement支持in参数
Fish198398的专栏
06-15 2094
JDBC PreparedStatement预编译SQL语句时,需要对传入的SQL语句对引号的特殊字符进行转意,下面整理了一个方法,来处理PreparedStatement预编译in的问题,代码如下: [code="java"] package com.jdbc; import java.sql.Array; import java.sql.Connection; import ja...
JDBC PreparedStatement 批量查询 in 的实现 方案
热门推荐
Heaven Wang 的专栏
04-18 2万+
我们经常会有这种业务需求,根据一个条件集合去查询一张表的数据,比如: select * from all_element t where t.task_id in (List <taskids>); 在java语言,我们需要用到JDBC来和数据库打交道,那么在JDBC该如何处理这种需求呢?我们可以有如下几种处理方式
jdbc查询语句in后传参数问题的解决方案
笨鸟先飞,天道酬勤
08-01 6595
现在做的项目有一项功能是这么传递数据的:前台传递到后台一个以逗号分隔的字符串,如:1,2,3 ,然后服务器端通过参数进行相应的查询。   查询语句select * from tableName where id in (1,2,3)在jdbc可以这样调用: PreparedStatement pstmt = conn.prepareStatement ("sel
java 使用预编译jdbc语句
06-11
SQL 语句,我们使用了 `?` 作为占位符,表示该参数的值需要在后面进行设置。在执行查询之前,我们通过 `setXXX()` 方法为占位符设置了对应的值。 使用预编译 JDBC 语句的好处是,SQL 语句的执行计划会在预编译...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值