PreparedStatement与Statement的异同点

最新推荐文章于 2024-08-15 11:19:42 发布
最新推荐文章于 2024-08-15 11:19:42 发布
阅读量99 收藏
点赞数
文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42810017/article/details/127635635
版权

联系:
1.PreparedStatement和Statement都是用来执行SQL查询语句的API之一
2.PreparedStatement接口继承了Statement接口

区别:
1.防注入
Class.forName(com.mysql.jdbc.Driver);
Connection con = DriverManager.getConnection("jdbc:mysql://....");
Statement st = con.CreateStatement();
String id = "20221101";
String sq = "delete from table1 where id="+id;
st.execute(sq);

上面这段代码的本意是要删除id=20221101的记录,但是如果有人将id的内容改为“20221101 or 1=1”。
那么表中的任何记录都将被删除,后果十分严重。
再比如登录界面用户可以在输入密码的时候加上两个冒号作为特殊字符利用布尔恒等式,“paasword or '1=1'”,
这样的话会让计算机认为他输入的是SQL语句的关键字从而改变你的SQL语句,
造成不可估量的损失。

为什么PreparedStatement能防止sql注入呢?
因为sql语句是预编译的,而且语句中使用了占位符,规定了sql语句的结构。
用户可以设置"?"的值,但是不能改变sql语句的结构,
因此想在sql语句后面加上如“or 1=1”(1=1能查出全部用户)等奇怪字符串的拼接来实现sql注入是行不通的。

PreparedStatement 防止 SQL 注入的原理就是把用户非法输入的单引号进行转义,最终传入参数作为一个整体执行,从而防止 SQL 注入,而 Statement 对象不会进行此操作。

2.预编译
实际开发中,一般采用PreparedStatement访问数据库,它不仅能防止sql注入,还是预编译的(不用改变一次参数就要重新编译整个sql语句,效率高)、Statement每次执行都需要重新编译sql语句,效率低下。而PreparedStatement则解决了这些问题。PreparedStatement会将编译好的sql语句放在数据库端,相当于缓存。对于多次重复执行的sql语句,使用PreparedStatement可以使得代码的执行效率更高。
此外,它执行查询语句得到的结果集是离线的,连接关闭后,仍然可以访问结果集。

3.可读性
Statement的sql语句使用字符串拼接的方式,容易导致出错,PreparedStatement使用“?”占位符提升代码的可读性和可维护性,并且这种绑定参数的方式,可以有效的防止sql注入。

综上,PreparedStatement 可以有效防止 SQL 注入,且采用预编译模式,你应该始终以 PreparedStatement 代替 Statement,也就是说,在任何时候都不要使用 Statement。

历城幼安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PreparedStatementStatement区别
田冥雨的博客
07-15 243
首先说一下在代码上的不同 1、 Statement是调用Connection对象的createStatement()方法获取Statement对象。 Statement stm = con.createStatement(); PreparedStatement是调用Connection对象的preparedStatement()方法获取PreparedStatement对象。 Prep
Java学习笔记之数据库操作
08-02
#### 七、查询与增删改的异同 - **相同**: - 都需要连接数据库(加载驱动,创建连接对象)。 - 都使用`PreparedStatement`对象处理SQL语句。 - **不同**: - SQL语句不同:查询使用SELECT语句,增删改...
preparedStatementstatement异同
qq1985003121的博客
12-09 172
PreparedStatementstatement区别? ##preparedStatement有预编译的过程,绑定了sql之后,无论执行多少次,都不会出现编译。 statement如果执行多次,那么就会编译多遍的sql。 所以: ①前者效率高 而且数据库的版本越高,数据库对pre的支持就越好。 ②前者安全性高 预编译的可以防止sql注入。 什么是sql注入? 所谓SQL注入,就是通过把SQ...
Statement和PreparedStatement区别/PreparedStatementStatement比较的优
a_zhang8888的博客
06-18 793
Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高
Statement与PreparedStatement的使用与区别
qikang_的博客
12-13 386
Statement与PreparedStatement区别 PreparedStatement继承自Statement,都是接口,但是PreparedStatement可以使用占位符,是预编译的,而Statement则不可以。Statement如果需要实现动态的数据操作,则需要对sql语句进行字符串拼接,使得sql语句编写起来比较麻烦,并且使用过程存在SQL注入的风险。PreparedStatement是从Statement接口继承而来,使用该接口可以有效的避免sql注入以及字符串拼接的问题。 Sta
关于PreparedStatementStatement区别的一小总结
feng250的博客
03-25 407
数据库在执行sql语句的时候如果使用PreparedStatement语句会有一优势:因为数据库会PreparedStatement语句进行预编译,下次执行相同的sql语句时,数据库端不会再进行预编译了,而直接用数据库的缓冲区,提高数据访问的效率(但尽量尽量采用使用?号的方式传递参数),如果sql语句只执行一次,以后不再复用,则建议采用StatemenStatement不会对sql进行预编译。望...
JDBC:PreparedStatementStatement异同
桃花er的博客
02-02 145
PreparedStatementStatement异同 ①前者是后者的子接口。 ②开发通常使用PreparedStatement而不是Statement。 ③PreparedStatement可以防止SQL注入。 ④PreparedStatement能最大可能的提高性能,DBServer会对预编译语句提供性能优化,执行代码会被缓存下来,下次调用时只要时相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码就会得到执行。 ...
java 面试题
05-07
理解JDBC API的使用,以及PreparedStatementStatement区别。 8. **Spring框架**:Spring是企业级Java应用的核心框架,要熟悉依赖注入(DI)、面向切面编程(AOP)、Spring Boot、Spring Cloud等相关概念和技术...
Java复习大纲面试题.doc
08-06
22. **Statement与PreparedStatement**: Statement用于执行SQL语句,效率较低,易受SQL注入攻击。PreparedStatement预编译SQL,效率高,安全,常用于大量重复执行的SQL。 以上内容涵盖了Java基础、集合框架、多...
java面试宝典
11-06
14. **SQL数据库**:了解Statement与PreparedStatement区别,防止SQL注入的方法。 15. **Redirect与Forward**:讨论它们在HTTP响应的不同行为。 16. **Java内存模型**:分析对象实例化的内存状态,包括对象...
Java全阶段综合笔试面试题(含答案).docx
08-27
39. **JDBC为什么要使用PreparedStatement而不是Statement** - `PreparedStatement`可以预编译SQL语句,提高执行效率。 - 可以防止SQL注入攻击。 40. **设计模式** - **策略模式**: 定义一系列算法,把它们一个...
Statement与PreparedStatement区别
longlong97的博客
09-10 325
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率,也叫JDBC存储过程 2.使用Statement对象。在对数据库只执行一次性存取的时候,用Statement对象进行处理。PreparedStatement对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,P
jdbc PreparedStatementStatement区别
babylorin的博客
10-13 694
1 、 PreparedStatement 接口继承 Statement , PreparedStatement 实例包含已编译的 SQL 语句,所以其执行速度要快于 Statement 对象。 2 、作为 Statement 的子类, PreparedStatement 继承了 Statement 的所有功能。三种方法       execute 、 executeQuery 和 e
JDBCStatement和PreparedStatement区别
qq_42499188的博客
09-28 561
1、PreparedStatement是预编译的,对于批量处理可以大大提高效率.也叫JDBC存储过程 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3、statement每次执行sql语句,相关数据库都要执行sql语句的编译,p...
preparedStatementStatement区别及联系
一枚数学专业的小码农的博客
08-31 7208
JDBCpreparedstatementstatement区别
Sql与Rce注入相关漏洞复现
山月不问人间事
08-12 739
‌这些查询可以是SELECT、‌INSERT、‌UPDATE或DELETE等,‌它们将在数据库按顺序处理,‌尽管它们是在单个函数调用发送的。假设我发送的是这样一个请求:i_d=1&i.d=2 ,php先将i.d转换成i_d,即为i_d=1&i_d=2 ,再获取到的$_REQUEST['i_d']就是2。可在$_SERVER['REQUEST_URI'],i_d和i.d却是两个完全不同的参数名,那么切割覆盖后,获取的$_REQUEST['i_d']却是1。参数是可选的,‌用于限制分割后的数组元素数量。
sql注入实战——thinkPHP
Sesessep的博客
08-11 1056
下载thinkPHP文件解压,将framework关键文件放到think-5.0.15,改名为thinkphp再将think-5.0.15放到WWW文件夹输入localhost/WWW/think-5.0.15/public/index.php,访问应用入口文件搭建完成。
sql】MySQL 的数值格式化函数:FORMAT、ROUND 和 TRUNCATE
最新发布
longforone的博客
08-15 312
FORMAT。
NoSQLRedis 配置与优化
YYL0019的博客
08-12 732
Redis 服务器程序是单进程模型,也就是在一台服务器上可以同时启动多个Redis 进程, 而 Redis 的实际处理速度则是完全依靠于主进程的执行效率。事实上,每秒同步也是异步完成的,其效率也是非常高的,弊端是一旦系统出现宕机现象,那么这一秒钟之内修改的数据将会丢失。性能最大化,对于Redis的服务进程而言,在开始持久化时,它唯一需要做的只是fork出子进程,之后再由子进程完成这些持久化的工作,这样就可以极大的避免服务进程执行IO操作了。对于普通的BBS 网站,往往也会存在高并发的写数据请求。
preparedstatementstatement
03-16
PreparedStatementStatement都是Java用于执行SQL语句的接口。 Statement是最基本的接口,用于执行静态SQL语句。它的执行方式是将SQL语句发送给数据库,由数据库解析和执行。Statement存在SQL注入的风险,因为它...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值