浅析PreparedStatement

最新推荐文章于 2025-08-25 09:45:00 发布
原创 最新推荐文章于 2025-08-25 09:45:00 发布 · 390 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#PreparedStatement

PreparedStatement作为Statement的增强版,提供更好的可读性和维护性。通过预编译技术,其执行效率高于Statement,尤其适合多次执行相同SQL的情况。此外,预编译还能防止SQL注入,确保数据安全。了解PreparedStatement的工作原理,如预编译过程,有助于优化数据库操作。

PreparedStatement继承自Statement,但比Statement功能强大的多。

具体可从三个方面来分析:

1、可读性
     虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性
     上来说都比直接用Statement的代码高很多档次: 

stmt.executeUpdate("insert into tb_name 
    (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')"); 

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) 
    values (?,?,?,?)"); 
    perstmt.setString(1,var1); 
    perstmt.setString(2,var2); 
    perstmt.setString(3,var3); 
    perstmt.setString(4,var4); 
    perstmt.executeUpdate(); 

 

2、预编译
     PreparedStatement是使用带占位符参数(预编译语法)来编写Sql语句的
     Statement是直接执行静态Sql语句

     这样的话PreparedStatement的执行效率会更高,当使用同一个PreparedStatement对象执行多次时,
     只需要编译一次。
     当同时要执行多条相同结构sql语句时使用,这时可以用setObject()addBatch()executeBatch()
     这几个函数。

package com;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;

public class TestPreparedStatement {
    public static void main(String[] args) {
        Connection con = null;
        PreparedStatement pst = null;
        try {
            Class.forName("com.microsoft.sqlserver.jdbc.SQLServerDriver");

            String url = "jdbc:sqlserver://127.0.0.1:1433;databaseName=userManager";
            con = DriverManager.getConnection(url, "as", "");
           

            String sql = "insert into myuser (userName,pwd) values (? , ?)";
            pst = con.prepareStatement(sql);
           

            pst.setString(1, "张三");  //也可以用setObject()
            pst.setString(2, "123");
            pst.addBatch();
   
            pst.setString(1, "李四");
            pst.setString(2, "456");
            pst.addBatch();
   
            pst.executeBatch();
   
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } catch (SQLException e) {
            e.printStackTrace();
        } finally {
           try {
               if (pst != null) {
                   pst.close();
                   pst = null;
               }
               if (con != null) {
                   con.close();
                   con = null;
               }
           } catch (SQLException e) {
               e.printStackTrace();
           }
       }
    }
}


拓展:

预编译也就预处理,叫什么都行。它就是把SQL语句的模板生成一个函数,模板中的“?”就是函数的参数。当给“?”赋值之后,再执行SQL语句时,就是用参数来调用函数。

例如:SELECT * FROM tab_student WHERE s_number=?,这是一条SQL模板语句,当使用这个SQL模板获取PreparedStatement对象时,已经把这条SQL模板发送给了SQL服务器,这时SQL服务器会根据SQL模板生成一个函数一样的东西:详情讲看

functioin myfun(?) {

   …

}

当使用PreparedStatement为“?”设置了值后(pstmt.setString(1,”S_1001”),再去调用executeQuery()方法时,就是在使用参数调用函数一样:myfun(“S_1001”)。

 

3、防sql注入
      由于PreparedStatement是预编译过的,所以当用户输入非法参数时,会进行特殊处理以防止Sql注入

打印出执行Sql为:

Statement对象就没那么好心了,它才不会把用户非法输入的单引号用\反斜杠做转义!

 

 

MySQL Prepared语句(Prepared Statements)
最简单的方法,解决最实际的问题。
04-17 3586
在数据库应用中,很多SQL语句都会重复执行很多次,每次执行可能只是where条件中的变量值不同,但MySQL依然会解析SQL语法并生成执行计划。对于这类情况,可以利用prepared语句来避免重复解析SQL的开销。
MyBatis源码浅析(一)开篇
09-01
2. `ReuseExecutor`则是在执行SQL时会重用PreparedStatement,提高了性能,减少了数据库连接的创建和释放,适用于频繁执行相同SQL的情况。 3. `BatchExecutor`支持批处理,它将多个SQL语句一次性发送到数据库执行,...
Prepared statement
kezhen的专栏
03-25 3145
http://en.wikipedia.org/wiki/Prepared_statement In database management systems, a prepared statement or parameterized statement is a feature used to execute the same or similar database statement
知识点——PreparedStatement
weixin_43527766的博客
03-24 357
PreparedStatement是java.sql下的api,相比Statement(通用查询),CallableStatement(存储过程查询),PreparedStatement适用于参数化查询。 不过绝大部分的时候,PreparedStatement可以代替Statement,有以下好处: 1.处理参数(日期转换之类)更方便 2.执行更快捷,如名字所言,它是预编译的 3.更加安全,能防止...
statement 、prepareStatement的用法和解释
热门推荐
bit-cafe
09-06 3万+
一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.stateme
SQL 预编译(Prepared Statement)
最新发布
DeppBing的博客,全栈修炼记|记录一个开发者的进化轨迹
08-25 668
SQL预编译(PreparedStatement)通过在执行前先编译SQL模板并缓存执行计划,后续仅需传递参数即可复用,提升性能(减少重复解析)和安全性(防止SQL注入)。它将SQL结构与参数分离,使代码更清晰,适用于批量操作、高并发查询等场景。主流语言(如Java、Python、Node.js)均支持预编译,是高并发应用和涉及用户输入操作的最佳实践。
浅析SQL注入.ppt
10-27
在Java Web开发中,SQL注入常常源于对PreparedStatement对象的不当使用。开发者应该使用PreparedStatement的setString等方法来设置参数,而不是直接将字符串拼接。例如,如果使用以下代码: ```java String sql = ...
浅析JDBC的使用方法
09-07
5. **执行SQL并处理结果**:调用`Statement`或`PreparedStatement`对象的`executeQuery()`或`executeUpdate()`方法执行SQL。对于查询语句,返回`ResultSet`对象;对于DML语句(INSERT、UPDATE、DELETE),返回受影响...
JDBC连接MySQL数据库的方法浅析.pdf
10-10
【JDBC连接MySQL数据库的方法浅析】 JDBC(Java Database Connectivity)是Java语言中用于与关系型数据库交互的标准API,由Sun Microsystems(现为Oracle公司)制定。它为Java开发者提供了一个统一的接口,用于访问...
浅析Spring的JdbcTemplate方法
08-31
`占位符、`PreparedStatement`参数设置和`NamedParameterJdbcTemplate`的命名参数。同时,它还自动处理了结果集与Java对象之间的类型转换,使得处理数据库查询更加方便。 ### 6. 错误处理与异常翻译 JdbcTemplate...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
主要介绍了详解Java的JDBC中Statement与PreparedStatement对象,PreparedStatement一般来说比使用Statement效率更高,需要的朋友可以参考下
java mysql statement_java-mysql(2) Prepared statement
weixin_42511338的博客
01-20 300
上一篇学习了java如何链接配置mysql,这篇学习下java如何处理sql预处理语句(PreparedStatement),首先是一个sql预处理的例子:1 packagecore;23 importjava.sql.Connection;4 importjava.sql.DriverManager;5 importjava.sql.PreparedStatement;6 importjava....
PreparedStatement 与Statement
qq_37596695的博客
04-25 290
PreparedStatement 动态参数化查询,查询速度快,防止sql注入 用PreparedStatement 动态参数化查询 你可以写带参数的sql查询语句,通过使用相同的sql语句和不同的参数值来做查询比创建一个不同的查询语句要好 查询速度快: 使用 PreparedStatement 最重要的一点好处是它拥有更佳的性能优势,SQL语句会预编译在数据库系统中。执行...
PreparedStatement
顺其自然~专栏
12-02 926
总之, 对于预先准备语句,我们应该使用参数化的查询。这样允许数据库重用已经存在的访问方案,从而减轻数据库的负担。这样的缓冲区是这个数据库范围的,所以你可以安排你所有的应用程序,使用相似的参数化的 SQL,就会提高这样的缓冲区方案的效率,因为一个应用程序 可以使用另一个应用程序的语句。一个应用服务器的优势也在于此,因为访问数据库的逻辑应该集中在数据访问层上(OR映射,实体bean或者直接JDBC),最后, 预先准备语句的正确使用也让你利用应用程序服务器的预先准备语句的缓冲区的好处。
预编译语句(Prepared Statements)介绍,以MySQL为例
天涯路的专栏
04-08 2307
1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种...
mysql性能优化-预处理语句(Prepared Statements)
Flying_Fish_roe的博客
09-09 2902
预处理语句(Prepared Statements)是一种将 SQL 查询与其参数分离的机制。与传统的查询方式不同,预处理语句首先会将 SQL 查询进行编译、优化,并将其缓存,随后可以多次执行该查询,而不必每次都重新编译和解析 SQL 语句。每次执行时,预处理语句只需要提供不同的参数即可,这使得它在需要执行多次相同 SQL 查询的场景中具有明显的性能优势。准备阶段:MySQL 将 SQL 查询语句进行编译和解析,并生成执行计划。执行阶段:传递参数,执行已编译的 SQL 语句,获取结果。
JDBC知识【JDBC API详解】第三章下篇
日常学习总结
08-23 636
JDBC API:案例,Prepared Statement:SQL注入,模拟问题,解决问题
prepareStatement和Statement的区别
weixin_34258838的博客
03-25 97
1:创建时的区别:    Statement stm=con.createStatement();    PreparedStatement pstm=con.prepareStatement(sql); 执行的时候:     stm.execute(sql);     pstm.execute();  2: pstm一旦绑定了SQL,此pstm就不能执行其他的Sql,即只能执行一条SQL命令。...
Java PreparedStatement深度解析
"PreparedStatement是Java数据库连接(JDBC)API中的一个重要类,用于预编译SQL语句,提高性能和安全性。它允许开发者在SQL语句中使用占位符(问号),然后在运行时设置参数,从而简化了日期和时间戳等复杂数据类型...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值