JAVA集锦(四)--PrepareStatement与Statement的区别

最新推荐文章于 2022-04-16 09:54:49 发布
最新推荐文章于 2022-04-16 09:54:49 发布
阅读量690 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010773667/article/details/48039485
版权

   

        preparestatement继承于statement,由此我们可以得到初步结论:preparestatement在statement的基

础上进一实现了自己特有的一些方法和属性,preparestatement是对statement的扩展和优化。

 

1.可读性和可维护性

 

     Statement用于执行静态sql语句,在执行时必须指定一个事先准备好的sql语句。执行的sql是通过拼接字符串

形式来实现的。

 

     PrepareStatement是预编译的sql语句对象,sql语句被预编译并保存在对象中。被封装的sql语句是通过占位

“?”来定义的。

 

Statement用法

 

<span style="font-family:Verdana;"><span style="font-size:14px;">stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");
</span>
</span>

 

prepareStatement用法

 

<span style="font-family:Verdana;">perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");

perstmt.setString(1,var1);

perstmt.setString(2,var2);

perstmt.setString(3,var3);

perstmt.setString(4,var4);

perstmt.executeUpdate();

</span>

 

对比效果很明了,拼接字符串可读性差,不利于后期维护,尤其是维护其他人拼接的字符串就更一个头两个大了。

 

2.高性能

 

      prepareStatement把sql语句预先“编译”好放在数据库缓冲区,每次只替换定义的变量,只需编译一次。

Statement每次执行都编译。

       

      使用PrepareStatement对象执行sql时,数据库对SQL进行解析和编译然后放到命令缓冲区。当再次执行同一

PrepareStatement对象即架构完全相同只是变量不同时,在缓冲区可以发现预编译的命令并重用,因此它只会被

解析而无需再次编译。如果多次重复执行相同的SQL命令,使用PreparedStatement对象减少与数据库的通信量,

从而加快执行速度。但是如果SQL语句只执行一次那么没有什么性能优势。

 

      当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译。当需要执行Statement对象

多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。

 

      更多的关于性能的问题,如在不同数据库之间的差异,还需要进一步验证。

 

3.安全性

 

        假如现在在登录界面,我要通过验证用户名和密码进行登录。那么使用Statement的拼接SQL串应该为:

String sql = " select * from userInfo  where name= '"+varname+"' and passwd='"+varpasswd+'" "; 

 

我现在给出如下登录名和密码:

varname=[aaa]

Passwd=[111' or '1'='1]

 

带入参数后,得到的SQL实例为:

select * from userInfo  where name= 'aaa' and passwd='111' or '1'='1'

而'1'='1'是恒成立的,也就意味着我可以进入系统了。

 

如果更进一步,我输入密码为

Passwd=[111';drop tableuserInfo]

 

那么得到的SQL为:

select * from userInfo  where name= 'aaa' and passwd='111' ; drop table userInfo

SQL执行后用户信息表就被恶意删除了,后果很严重。这种现象被称为SQL注入。而使用PreparedStatement占位

就可以很好的防止这种现象的发生。因此Statement多在不带变量或变量为已知的情况下才适用。

 

 

爱吃黄瓜拉皮的小妞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 13
    评论
java---牛客网java专项训练知识点集锦
白夜行
11-14 1156
1.关于原码、反码、补码的问题。 经过强制类型转换以后,变量a,b的值分别为多少? 1 2 short a =128; byte b =(byte) a;       已知负数的补码,求负数: 补码-1=反码,反码按位取反=该负数绝对值 已知负数,求负数的补码: (1)、负数原码除了符号位,按位取反(不
MyBatis温故而知新-底层运行原理
xxsiyao的博客
07-10 103
准备工作【参考资料】 public class MainClass { public static void main(String[] args) throws Exception { String resources = "mybatis-config.xml"; InputStream inputStream = Resources.getResourceAsStream(resources); SqlSessionFactory sqlSessionFactory =
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别
Statement和PreparedStatement区别
weixin_30252709的博客
09-12 123
最近在项目中,在执行sql进行数据库操作时,经常会遇到Statement对象和PreparedStatement对象,那他们有什么区别,又在何时用呢? 二者关系:PreparedStatement接口继承了Statement接口。 相同点:都是数据库执行的方法,用来发送要执行的sql语句。 我们通过具体例子还比较一下这两...
Java基础——Statement与PrepareStatement
weixin_33842328的博客
08-03 139
Statement       StatementJava运行数据库操作的一个重要方法。用于在已经建立数据库连接的基础上。向数据库发送要运行的SQL语句。Statement对象,用于运行不带參数的简单SQL语句。用于运行静态 SQL 语句并返回它所生成结果的对象。      在默认情况下,同一时间每一个 Statement对象在仅仅能打开一个 ResultSet对象。...
Statement和PrepareStatement有什么区别
chenling_ling的专栏
08-11 585
Statement用于执行静态sql语句,在执行时,必须指定一个事先准备好的sql语句。 PrepareStatement是预编译的sql语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句中可以包含动态参数“?”,在执行时可以为“?”动态设置参数值。 使用PrepareStatement对象执行sql时,sql被数据库进行解析和编译,然后被放到命令缓冲区,每当执
statement 与preparestatement 区别
bangsen
07-20 148
关键字: statement 与preparestatement 区别 1. PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。这种转换也给你带来很...
java经典面试2010集锦100题(不看你后悔)
02-21
JAVA试题(100道) —————————————————————————————————————— 题目1: 下面不属于基本类型的是:c (选择1项) A) boolean B) long C) String D) byte 题目2:d 如下程序中:...
java mail 学习笔记
吴杨的博客
03-28 3333
JAVA MAIL 学习 笔记电子邮件协议的简介SMTP 简单邮件传输SMTP是Simple Mail Transfer Protocol的简称,即简单邮件传输协议。该协议定义了邮件客户端软件和SMTP服务器之间,以及两台SMTP服务器之间的通信规则。在Java Mail API中,基于Java Mail的程序将与本公司或Internet服务提供商(ISP)的SMTP服务器通信,该SMTP服务器将会
知否?知否!Java工程师常见面试题集锦)互联网人必看!(附答案及视频教程,持续更新)
CSDN学习
01-17 2378
成年人都追逐速度,渴望锦鲤一转,速成超越。这也难怪,毕竟我们目光所及,全是金字塔顶端的闪闪发光。这如何能不加速我们的焦虑和对速度的追求呢? 年底了,你是不是又在无休止的赶项目?是不是也在嘀咕这一年忙到头年终奖却没几块?有没有在犹豫换一份更理想的工作?那么,来好好储备些面试题吧,有备无患,希望来年职场高升。 本期是Java面试题更新的第期了,仍然是10道面试题,前面三期的链接地址如下: J...
Statement 和 PrepareStatement区别
weixin_46096297的博客
08-22 308
Statement 和 PrepareStatement二者都是用在获取数据库操作对象; 1当遇到sql注入问题的时候,Statement 不能排查出来, 即* or ‘1’=1 被认定为sql的语句而被编译。 //3选择数据库操作对象 statement=connection.createStatement(); //4执行sql String sql="select *from t_user where login
Java学习笔记】——Statement & PrepareStatement
梵高先生
12-26 1270
Statement与PrepareStatement区别和联系
Statement和PrepareStatement区别
qq_55018589的博客
04-16 1004
1.Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 就比如说 String sql="select * from user where us...
statement和preparestatement区别
03-11 1486
看下面两段程序片断: Code Fragment 1: String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′"; stmt.executeUpdate(updateString); Code Fragment 2: PreparedStatement updateSales
statement和prepareStatement区别
热门推荐
HaC 的博客
09-16 1万+
一、语法 两者的语法区别 statement语法 Statement stmt = connect.createStatement(); String sql= "SELECT * FROM cg_user WHERE userId=10086 AND name LIKE 'xiaoming'"; ResultSet rs = stmt.executeUpdate(sql); prepar...
海量数据处理:面试题与Bit-map方法分解URL问题
在海量数据处理的面试题集中,针对给定的场景,有两个主要的解决方案来处理大数据量的url查找问题。首先,方案1采用分治策略,将大文件a和b分割成1000个小文件,每个约300MB,通过哈希集合(如HashSet)在每个小文件...
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值