Statement与PreparedStatement区别

最新推荐文章于 2021-01-19 04:27:42 发布
最新推荐文章于 2021-01-19 04:27:42 发布
阅读量88 收藏
点赞数
文章标签: 数据库
原文链接:http://www.cnblogs.com/Nick7/p/10732383.html
版权

1.性能区别
Statement statement = conn.createStatement();
PreparedStatement preStatement = conn.prepareStatement(sql);
执行的时候:
ResultSet rSet = statement.executeQuery(sql);
ResultSet pSet = preStatement.executeQuery();
由上可以看出,PreparedStatement有预编译的过程,已经绑定sql,之后无论执行多少遍,都不会再去进行编译,
而 statement 不同,如果执行多少遍,则相应的就要编译多少遍sql,所以从这点看,preStatement 的效率会比 Statement要高一些
2.代码的可读性和可维护性
虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:
stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");//stmt是Statement对象实例
perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate(); //prestmt是 PreparedStatement 对象实例
3.安全性问题
即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道.
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我们把[' or '1' = '1]作为varpasswd传入进来.用户名随意,看看会成为什么?
select * from tb_name where name= 'zhangsan' and passwd = '123' ; trop table tb_name;
select * from tb_name = '随意' and passwd = '' or '1' = '1';
因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者:
把[';drop table tb_name;]作为varpasswd传入进来,则:
select * from tb_name = '随意' and passwd = '';drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.
4.继承关系
作为 Statement 的子类,PreparedStatement 继承了 Statement 的所有功能,
Statement对象能做的操作Preparedstatement都能做,Preparedstatement能做的Statement不一定能做

转载于:https://www.cnblogs.com/Nick7/p/10732383.html

weixin_30383279
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解Java的JDBC中Statement与PreparedStatement对象
09-03
主要介绍了详解Java的JDBC中Statement与PreparedStatement对象,PreparedStatement一般来说比使用Statement效率更高,需要的朋友可以参考下
关于Statement和Prestatement区别
qq_47938856的博客
09-19 942
Statement 是java.sql包下的一个接口,想必在学习过jdbc的同学们就对这个接口有一定的印象,Statement接口下有很多方法是对sql语句处理的,例如executeQuery(“sql语句”)方法 //3,创建数据库对象 Statement stmt=con.createStatement(); //4,对数据库进行操作 String sql="select * from dept"; ResultSe..
statement与prestatement区别
itcast123的专栏
08-30 410
  prestatement的效率比前者高,在使用PreparedStatement对象执行SQL命令时,命令被数据库进行编译和解析,然后被放到命令缓冲区.然后,每当执行同一个PreparedStatement对象时,它就会被再解析一次,但不会被再次编译.在缓冲区中可以发现预编译的命令,并且可以重新使用.     如果要你写insert update delete 最好用preparedStat...
Statement和PreparedStatement之间的区别
Jenhy的专栏
10-17 1565
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语
Statement和Prestatement区别(转)
xinSmile的博客
02-17 3235
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句,相关数据库都要执行sql语句的编译
PreparedStatementStatement区别
liuhaixiao
02-08 176
抄袭别人的。。 看下面两段程序片断: Code Fragment 1: String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′"; stmt.executeUpdate(updateString); Code Fragment 2: PreparedStat...
java中PreparedStatementStatement详细讲解
08-25
主要介绍了java中PreparedStatementStatement详细讲解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
PreparedStatementStatement
03-22
NULL 博文链接:https://stevenjohn.iteye.com/blog/968877
java中PreparedStatementStatement区别
12-26
java中PreparedStatementStatement区别
statement和prepareStatement区别
热门推荐
HaC 的博客
09-16 1万+
一、语法 两者的语法区别 statement语法 Statement stmt = connect.createStatement(); String sql= "SELECT * FROM cg_user WHERE userId=10086 AND name LIKE 'xiaoming'"; ResultSet rs = stmt.executeUpdate(sql); prepar...
Statement与PreparedStatement区别
haorengoodman的专栏
04-18 1万+
1>效率问题。 无论多少次地使用同一个SQL命令,PreparedStatement都只对它解析和编译一次。当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译,使用PreparedStatement对象比使用Statement对象的速度更快。
Statement和PrepareStatement区别详解
大学生小汪的成长博客
07-30 1万+
联系: 1.PreparedStatement继承自Statement,两者都是接口。 2.内部都要建立类似于Sockt连接,效率都不是特别高。 从资源利用和安全的角度区分两者的不同: 关于批处理时如何选择,以数据量大小位标准分三种情况: 1)量比较小,二者皆差别不大。 2)量比较多,在PreparedStatement预编译空间范围之内,选择PreparedStatement,因为其只...
executeQuery、executeUpdate和execute
yancychas的博客
02-26 3863
JDBC中Statement 接口提供了三种执行 SQL 语句的方法: executeQuery executeUpdate  execute 使用哪一个方法由 SQL 语句所产生的内容决定。 注意:在以下用法中使用的是Statement,但是最好使用PreparedStatement,有预处理速度更快,还可以使用不定参数,如下: PreparedStatement
java mysql delete_java连接mysql删除操作
weixin_35731579的博客
01-19 179
public void deleteStudent(int sid){DBConnection db=new DBConnection();PreparedStatement preStmt=null;try {preStmt=db.getConn().prepareStatement("delete from student where sid=?");preStmt.setInt(1, sid...
JDBC常用API小结
slowtech的博客
03-10 374
建立数据库链接的三种方式: package com.victor_01; import java.sql.Connection; import java.sql.Driver; import java.sql.DriverManager; import java.sql.SQLException; import java.util.Properties; import o
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 2815
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
请简述Statement与PreparedStatement区别
最新发布
04-11
Statement 是一种简单的 SQL 执行对象,它能够执行静态 SQL 查询语句,但存在 SQL 注入攻击的风险。而 PreparedStatement 是一种预处理的 SQL 执行对象,可以提高 SQL 的执行效率,同时还能够防止 SQL 注入攻击。它...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值