CreateStatement 和 PrepareStatement 的优劣

最新推荐文章于 2022-01-22 14:34:31 发布
最新推荐文章于 2022-01-22 14:34:31 发布
阅读量167 收藏
点赞数
文章标签: python 数据库
原文链接:https://my.oschina.net/u/3802803/blog/1647819
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

最明显的区别,就是执行的sql语句格式不同。我们往上放两段代码来看看他们的区别把:

使用CreateStatement方法创建了stmt对象:

String sql = "select * from users where  username= '"+username+"' and userpwd='"+userpwd+"'";  
stmt = conn.createStatement();  
rs = stmt.executeQuery(sql);  

使用PrepareStatement方法创建了pstmt对象:

String sql = "select * from users where  username=? and userpwd=?";  
pstmt = conn.prepareStatement(sql);  
pstmt.setString(1, username);  
pstmt.setString(2, userpwd);  
rs = pstmt.executeQuery();  

PrepareStatement跟Statement的主要区别就是把上面sql语句中的变量抽出来了。

PrepareStatement较Statement有三大优点

优点一、增加代码可读性

优点二、ParperStatement提高了代码的灵活性和执行效率。

PrepareStatement接口是Statement接口的子接口,他继承了Statement接口的所有功能。它主要是拿来解决我们使用Statement对象多次执行同一个SQL语句的效率问题的。ParperStatement接口的机制是在数据库支持预编译的情况下预先将SQL语句编译,当多次执行这条SQL语句时,可以直接执行编译好的SQL语句,这样就大大提高了程序的灵活性和执行效率。

优点三:安全
String sql = "select * from user where username= '"+varname+"' and userpwd='"+varpasswd+"'";  

stmt = conn.createStatement();  

rs = stmt.executeUpdate(sql);  

这是验证用户名密码的,但把'or '1' = '1当作密码传进去,也就变成了

select * from user where username = 'user' and userpwd = '' or '1' = '1';  

这是个永真式,因为1永远等于1。所以不管怎样都能登录成功。

转载于:https://my.oschina.net/u/3802803/blog/1647819

weixin_34138377
关注
应届生面试要点总结(6)数据库相关
游不快的老孙
01-21 1190
mysql引擎和区别 MyISAM存储引擎:不支持事务、也不支持外键,优势是访问速度,对事务完整性没有要求,或者以select,insert为主的应用基本上可以用这个引擎来创建表。当执行insert和update时,执行写操作时,要锁定整个表,所以效率低。但它保存了表的行数,执行select count * from table时,不需全表扫描,而是直接读取保存的值。若读操作多于写操作,并且不...
PrepareStatement的优势
ccx20060810501的专栏
09-24 234
PrepareStatement相对Statement的优势: ·消除SQL注入的安全漏洞 ·Statement会是数据库频繁编译SQL,可能造成数据库缓冲区的溢出 ·数据库和相关驱动都可以对PrepareStatement进行优化   JdbcUtils工具类: /** * 有关mysql数据库的工具类,单例模式SingleTon */ package mysql.base...
使用PrepareStatement执行SQL的好处
K_kzj_K的博客
01-22 1458
主要有两个好处: 一是PrepareStatement会预先提交带占位符的SQL到数据库进行预处理,提前生成执行计划。当给定占位符参数真正执行SQL时,执行引擎可以直接执行,效率更高一点。 另一个好处则更为重要,PrepareStatement可以防止SQL注人攻击。 假设我们允许用户通过App输人一个名字到数据中心查找用户信息,如果用户输人的字符串是Frank,那么生成的SQL如下: select from users where username = 'Frank'; 但是,如果用户输入的是
JDBC开发步骤和prepareStatement的优点
u010001192的博客
06-04 927
一、JDBC开发步骤 创建一个以JDBC连接数据库的程序,包含7个步骤:   1、加载JDBC驱动程序:         在连接数据库之前,首先要加载想要连接的数据库的驱动到JVM(Java虚拟机),这通过java.lang.Class类的静态方法forName(String  className)实现。 例如:        try{        //加载MySql的
PrepareStatementstatement,有什么区别,preparedStatement有哪些优点?
此生不换的博客
04-25 5731
(1)Statement是PreparedStatement的父类,作为 Statement 的子类,       PreparedStatement 继承了 Statement 的所有功能。  (2)PrepareStatementstatement的sql语句放置位置不同 Statemen st=conn.CreateStatement(); resultSet rs=st.exec
PreparedStatement相较于Statement的优点
无名老仙
09-25 1351
在jdbc组件中,尽量使用PreparedStatement而避免使用Statement,原因如下: 1、PreparedStatement可读性更高,维护性更强(Statement需要动态拼接); 2、PreparedStatement在被编译后会被缓存下来,下次调用相同的预编译语句时不需要重新编译,只需传入对应参数就行;而对于Statement来说,及时insert into tb_name ...
Java JDBC与ORM框架对决:优劣分析及适用场景指南
JDBC(Java Database Connectivity)是一个Java API,允许用户在不同的数据库之间进行查询和更新操作。它提供了一种标准的数据库访问方式,让Java程序能够跨数据库执行SQL语句。ORM(Object-Relational Mapping)...
数据一致性方案比较:分析不同数据一致性方案的优劣
# 1. 数据一致性的重要性与不同方案概述 ## 1. 引言 数据一致性是指在分布式系统中的多个副本之间,对数据的变更操作得到...维护数据一致性可以保证系统对外提供正确的服务和数据,防止错误或不一致的数据被读取或修改
Java sql 复杂sql字符串拼接 防注入
最新发布
06-20
PreparedStatement pstmt = conn.prepareStatement(sql); pstmt.setString(1, userInput); ResultSet rs = pstmt.executeQuery(); ``` 2. **使用参数化查询(Parameterized Statements)**:这种方式虽然不直接使用...
sql2005 批量更新问题的解决方法
05-31
PreparedStatement ps = cn.prepareStatement(sql); { ps.setXXX(1, xxx); ps.addBatch(); } ps.executeBatch(); ``` - **优点**: - 性能更高。由于 SQL 语句会被预编译,因此在多次执行相同 SQL 语句时...
论prepareStatement相对于Statement的优点在于哪里?(附加JDBC总结)
有上进心的阿龙
12-06 413
论PrepareStatement相对于Statement的优点在于哪里? 1、防止了之前使用Statement产生的sql注入问题。 最核心的原理就是PrepareStatement可以使用占位符预编译sql语句 比如登陆的sql在where条件里面 where username=? and password=? 这里是完全依据and条件的,不管你两个占位符里面填充的是什么。 但是之前的statement不能使用占位符,就可以在两边写or关键字来破坏and逻辑,造成永远的登录成功,这就是所谓的sql注入问
浅谈 JDBC 中 CreateStatement 和 PrepareStatement 的区别与优劣
weixin_30379973的博客
08-01 131
先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatement和PrepareStatement的区别,但其实说的就是Statement和PrepareStatement的区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就当重记忆,没看到就当补充~下...
浅谈 JDBC 中 CreateStatement 和 PrepareStatement 的区别与优劣
热门推荐
雏鹰
09-12 5万+
微信搜索 程序员的起飞之路 可以加我公众号,保证一有干货就更新~ 本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatement和PrepareStatement的区别,但其实说的就是Statement和PrepareStatement的区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就当重记忆,没看到就当补充~下面开始谈谈他.
statement 和 preparedStatement 优缺点
weixin_33796205的博客
08-22 1049
statement:   优点:在一次批处理中,SQL表现形式灵活;   缺点:不能防止SQL注入,效率较低; preparedStatement:   优点:安全防止SQL注入;   缺点:在一次批处理中,SQL表现形式不太灵活; 总结: 使用了批处理,程序的执行效率不一定会,这跟数据库版本,jar包版本,电脑配置,网络传输速度有关系。 建议使用JDBC批处理时结合着事务优...
mybatis学习日记(一)1-预编译PreparedStatement以及jdbc缺点
jqq_apple的博客
12-28 7377
预编译的优点 PreparedStatement是预编译的,对于批量处理可以大大提高效率,也叫JDBC存储过程。 使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 statement每次执行sql语句,相关数据库都要执行sql语句的编译,p
相对于Statement,PreparedStatement的优点
gufachongyang02的专栏
03-19 2440
转载自http://it.deepinmind.com/jdbc/2014/03/18/JDBC%E5%B8%B8%E8%A7%81%E9%9D%A2%E8%AF%95%E9%A2%98%E9%9B%86%E9%94%A6%28%E4%B8%80%29.html PreparedStatement有助于防止SQL注入,因为它会自动对特殊字符转义。PreparedStatement可以用来进行
PreparedStatement的使用好处
weixin_52714188的博客
07-09 1551
数据库连接被用于向数据库服务器发送命令和SQL语句,在连接建立后,需要对数据库进行访问,执行sql语句在java.sql包中有3个接口分别定义了对数据库的调用的不同方式:Statement,PreparedStatement,CallableStatemen。 PreparedStatement接口是Statement的子接口,它表示一条预编译过的SQL语句,有如下好处: 1代码的可读性和可维护性 2 PreparedStatement能提高性能:PreparedStatement执行sql后为预编译
statement prepareStatement的一点体会?
weixin_36708538的博客
05-19 903
1、PrepareStatement 是预编译的,对于批量处理(Batch)处理可以大大提高效率,也叫JDBC存储过程 2、使用Statement对象。在对数据库只执行一次性存取的时候,用Statement对象进行处理,PrepareStatement对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3、statement每次执行sql语句,相关数据库都要执行sql语句的...
createstatement和prepare
04-10
createStatement和prepare都是在Java中用于执行SQL语句的方法。其中createStatement适用于简单的SQL语句,而prepare可以处理带有参数的SQL语句。同时,prepare还具有防止SQL注入攻击的功能,可以提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值