JDBC 中 CreateStatement 和 PrepareStatement 的区别

最新推荐文章于 2024-06-06 09:03:36 发布
最新推荐文章于 2024-06-06 09:03:36 发布
阅读量4k 收藏 8
点赞数 5
分类专栏: MySQL 数据库 JDBC 文章标签: 数据库 MySQL CreateStatement() prepareStatement
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41092717/article/details/82853704
版权
MySQL 同时被 3 个专栏收录
7 篇文章 0 订阅
订阅专栏
数据库
7 篇文章 0 订阅
订阅专栏
JDBC
5 篇文章 0 订阅
订阅专栏

 

在学习JDBC的时候碰到一个问题。获取向数据库发送sql语句的statement对象有两种类似的接口这两个接口没有本质上的区别。都是通过对象调用executeQuery方法来执行SQL语句。说是CreateStatement和PrepareStatement的区别,但其实说的就是Statement和PrepareStatement的区别。

第一点:

conn.=JdbcUtils.getConnection()
stmt=conn.CreateStatement();
resultSet rs=stmt.executeQuery(sql);
上面是statement的用法
============================
下面是PrepareStatement的用法

conn.=JdbcUtils.getConnection()
ptmt=conn.PreparedStatement(sql);
resultSet rs=ptmt.executeQuery();
================================
Statement 是PreparedStatement的父类
还有就是sql放置的位置不同 。

在开发中一般用PrepareStatement

学习背景Jdbc学习01博客篇中有数据jdbcdemo库中有users表。有id,name,password,email,birthday等字段。
这是使用conn.createStatement()方法创建的st对象,再通过它向数据发送执行的插入语句sql。

//数据库添加数据测试
     @Test
     public void insert() throws SQLException {
         Connection conn = null;
         Statement st = null;
         ResultSet rs = null;
         try {
             conn = JdbcUtils.getConnection();
             st= conn.createStatement();
             String sql="insert into users(id,name,password,email,birthday) values(4,'liayun','123321','liayun@163.com','1992-10-06')";
             int num=st.executeUpdate(sql);
             if (num>0){
                 System.out.println("插入成功!!!");
             }
             conn.close();
             st.close();
         }
     }

下面是使用PrepareStatement方法创建了pt对象,再通过它向数据发送执行的插入语句sql。

 //更新数据测试
    @Test
     public void update() throws SQLException {
         Connection conn = null;
         PreparedStatement ps = null;
         ResultSet rs = null;
         try {
             conn = JdbcUtils.getConnection();
             String sql="update users set name=? where id =?";
             ps = conn.prepareStatement(sql);
             ps.setString(1,"小豆包");
             ps.setInt(2,4);
             int i = ps.executeUpdate();
             if (i>0){
                 System.out.println("更新成功!!!");
             }
         }
     }

通过两端代码块就能看出来了。PrepareStatement跟Statement的主要区别就是把上面sql语句中的变量抽出来了。这就是我要说的第一大优点,PrepareStatement可以提高代码的可读性。也许你刚开始写SQL语句觉得第一种stament对象执行的SQL明显简单且一句话就能了事何必麻烦再去抽取赋值。但是我们得考虑以后啊!当你的数据库表字段越来越多SQL语句越来越复杂一个表几十个字段的时候这时你想想的如果用第一种SQL语句的写法会显得很臃肿没有可读性,不光别人会看吐你自己也会看吐的。。。

下面说说第二点优点。ParperStatement提高了代码的灵活性和执行效率。

PrepareStatement接口是Statement接口的子接口,他继承了Statement接口的所有功能。它主要是拿来解决我们使用Statement对象多次执行同一个SQL语句的效率问题的。ParperStatement接口的机制是在数据库支持预编译的情况下预先将SQL语句编译,当多次执行这条SQL语句时,可以直接执行编译好的SQL语句,这样就大大提高了程序的灵活性和执行效率。

最后但也是最重要的一个大大的比Statement好的优点,那就是安全!

我给你一行代码参考一下

String sql = "select * from user where username= '"+username+"' and userpwd='"+password+"'";
st = conn.createStatement();
rs = st.executeUpdate(sql);

 这是验证用户名密码的,对吧。但要是我们把'or '1' = 1'当作密码传进去,你猜猜会发生什么。

select * from user where username = 'user' and userpwd = '' or '1' = '1';

发现了吧!这是个永真式,因为1永远等于1。所以不管怎样都能获取到权限。这还不是最坏的,你再看!

依旧是这行代码。这次我们把'or '1' = 1';drop table book;当成密码传进去。这次直接把表给删了。但是,你如果用PrepareStatement的话就不会出现这种问题。这就是我们常说的sql防注入的问题。你传入的这些数据根本不会跟原来的数据有任何的交集,也不会发生这些问题。

String sql = "select * from user where username= '"+username+"' and userpwd='"+password+"'";
st = conn.createStatement();
rs = st.executeUpdate(sql);

你看看如果使用的是PrepareStatement的话就是这样了,相对于CreateStatement减少了恶意数据的写入。

String sql = "select * from user where username=? and userpwd=?";
pst=conn.prepareStatement(sql);
pst.setString(1,username);
pst.setString(2,password);
rs = ps.executeQuery();

转载请说明转载来源https://blog.csdn.net/weixin_41092717/article/details/82853704

 

永恒言诺
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈 JDBC CreateStatement 和 PrepareStatement区别与优劣。
雏鹰
09-12 5万+
微信搜索 程序员的起飞之路 可以加我公众号,保证一有干货就更新~ 本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatement和PrepareStatement区别,但其实说的就是Statement和PrepareStatement区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就当重记忆,没看到就当补充~下面开始谈谈他.
createStatement 和 prepareStatement区别
笃行
09-10 2954
概念上: 1、prepareStatement会先初始SQL,先把这个SQL提交到数据库进行预处理,多次使用可提高效率; 2、createStatement不会初始化,没有预处理; 变量上: prepareStatement 可以在SQL用 ?替换变量,可以保证SQL安全问题,防止SQL注入; createStatement 只能在SQL拼接参数,容易造成SQL注入; 功能上: 如果想要删除多条数据,对于createStatement 需要写多条SQL语句; 而prepareStatement 通过s
请分别介绍下UART、I2C、SPI等协议的共同点,不同之处以及适用场景
最新发布
铁匠Smith先生的专栏
06-06 413
UART:适用于对实时性要求不高、传输距离相对较远的场合,如远程控制、简单设备间通信。I2C:适合于设备密度高、空间受限的环境,如电路板上的传感器和微控制器之间的通信。SPI:在需要高速数据交换和系统内部通信时更为合适,尤其是在那些对数据传输速率有较高要求的场景。
createStatement与prepareStatement区别
javaMov的专栏
10-24 2336
* createStatement 方法用于: 简单的 SQL 语句(不带参数) prepareStatement 方法用于: 带一个或多个 IN      * 参数的 SQL 语句      *      * pstm一旦绑定了SQL,此pstm就不能执行其他的Sql,即只能执行一条SQL命令。 stm可以执行多条SQL命令。      *      * 对于执行同构的sql(只有
浅谈 JDBC CreateStatement 和 PrepareStatement区别与优劣
machinecat0898的专栏
04-23 1711
本人的几点浅见,各位大大不喜勿喷。 先说下这俩到底是干啥的吧。其实这俩干的活儿都一样,就是创建了一个对象然后去通过对象调用executeQuery方法来执行sql语句。说是CreateStatement和PrepareStatement区别,但其实说的就是Statement和PrepareStatement区别,相信大家在网上已经看到过不少这方面的资料和博客,我在此处提几点,大家看到过的,就
java连接数据库Connection的prepareStatementcreateStatement区别
ilaveyou68的专栏
04-23 4317
这两者的区别主要在于如何构造执行sql语句的对象, 1,对于prepareStatement来说,其执行返回的是一个prepareStatement对象,而这个方法的描述是这样的,prepareStatement(String sql)创建一个 PreparedStatement 对象来将参数化的 SQL 语句发送到数据库。它需要一个参数,这个参数就是需要执行的sql语句。而createSt
JDBC:createStatement(sql注入)与PrepareStatement(防止sql注入)程序案例
羊咩咩的博客
01-12 396
需求: 对数据库CRUD(增删查改) 建立一个数据库,并插入数据: createStatement(sql注入): 分为student实例、接口、实现接口、测试四个部分。 Student.java package cn.student; public class Student { private int id; private String name; private int age; public int getId() { return id; } public void s
PreparedStatementcreateStaement的区别
kkxxzx的博客
11-25 854
PreparedStatementcreateStatement区别 statement由方法createStatement()创建,该对象用于发送简单的SQL语句 //通过Connection的接口创建Statement对象 statement = conn.createStatement(); //编写sql语句
JDBCprepareStatementcreateStatement 区别
漫游学海之旅
07-07 4874
简单来说,prepareStatement 提供预编译SQL语句,可以用"?" 来替换需要改变的参数值,类似于正则化 SQL查询语句。 createStatement则不提供预编译SQL,需要实时executeQuery(sqlStr) 来访问数据库。 因此,prepareStatement可以多次使用,提高访问数据库的效率。 具体可以参考:http://blog.csdn
java多线程累加计数
热门推荐
安迪爸爸
03-21 3万+
java多线程计数 题目 给定count=0;让5个线程并发累加到1000; 思路 创建一个类MyRunnable,实现Runnable(继承Thread类也可) 定义一个公共变量count(初始值为0),5个线程都可以访问到; 创建5个线程并发递增count到1000; 方法 方法一 将count公共变量放到测试类Test的类成员变量里,将MyRunnable类作为Te...
prepareStatementcreateStatement区别
weixin_39590058的博客
03-17 278
public void delete( int id){ try { Connection c = DBUtil.getConnection(); Statement s = c.createStatement(); String sql = "delete from category where id = "...
jdbc Connection接口的方法prepareStatementcreateStatement区别
A1369933164的博客
04-17 798
这里写自定义目录标题*jdbc Connection接口的方法prepareStatementcreateStatement区别**欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 *
sql的prepareStatementcreateStatement的用法区别
qq_29995363的博客
08-14 954
stmt=conn.CreateStatement(); resultSet rs=stmt.executeQuery(sql);        //对象之没有sql语句,所以还得用executeQuery()来执行sql语句 上面是statement的用法 ============================ 下面是PrepareStatement()的用法 ptmt=conn.
JDBC之使用Statement,PreparedStatement,ResultSet
hustwht的专栏
08-12 5437
1. 创建一个获取 Connection 对象和关闭资源的工具类 在对数据库进行CRUD操作的时候,每一个操作都需要获取Connection对象,所以我们就可以把获取Connection对象的过程抽离到一个工具类当,下面是具体代码。  View Code public final class JdbcUtil { private JdbcUtil() {
JDBC---PreparedStatement用法详解
silmeweed的博客
04-16 4114
一 简介: JDBC的最基本的使用过程 加载驱动类:Class.forName() 获取数据库连接:DriverManager.getConnection() 创建SQL语句执行句柄:Connection.createStatement() 执行SQL语句:Statement.executeUpdate() 释放数据库连接资源:finally,Connection.cl...
Statement stat = conn.createStatement(); PreparedStatement prep = conn.prepareStatement
autumn20080101的专栏
10-31 4234
import java.sql.*; public class Test { public static void main(String[] args) throws Exception { Class.forName("org.sqlite.JDBC"); Connection conn = DriverManager.getConnection("jdbc:sq

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值