Statement 和 PrepareStatement的区别

最新推荐文章于 2022-09-19 13:46:50 发布
最新推荐文章于 2022-09-19 13:46:50 发布
阅读量284 收藏
点赞数
分类专栏: 数据库 文章标签: 数据库 mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46096297/article/details/119856573
版权

Statement 和 PrepareStatement二者都是用在获取数据库操作对象;
1当遇到sql注入问题的时候,Statement 不能排查出来, 即* or ‘1’=1 被认定为sql的语句而被编译。

			//3选择数据库操作对象
			 statement=connection.createStatement();
            //4执行sql
            String sql="select *from t_user where 
            loginName='"+uesrLoginInfo.get("user_name")+ "' and 
            loginPwd='"+uesrLoginInfo.get("user_password")+"'";
            resultSet=statement.executeQuery(sql);

PrepareStatement会先对sql语句进行检查,并且查询条件会在编译之后插入
编译条件用?代替,而且会编译自带 ""

 //3选择预编译数据库操作对象——要先写sql语句
            /**
             * "select *from t_user where loginName=? and loginPwd=?";
             * ?一个问题 表示一个占位符  占位符不能使用单引号
             */
            //String sql="select *from t_user where 
            loginName='"+uesrLoginInfo.get("user_name")+ "' and 
            loginPwd='"+uesrLoginInfo.get("user_password")+"'";
            String sql="select *from t_user where loginName=?and loginPwd=?";
            ps=connection.prepareStatement(sql);
            //预编译之后给sql语句中的?传值
            //第一个?是下标是1,后面依序增加
            ps.setString(1,uesrLoginInfo.get("user_name"));
            ps.setString(2,uesrLoginInfo.get("user_password"));

2PrepareStatement还会对sql语句的类型进行安全检查,如原定是String 类型 ,那么如果sql语句中是int类型,其也可以检擦出来 不会到sql执行阶段才报错

3最后一点是PrepareStatement对于完全相同的sql语句 它是编译一次 后续可以执行N次(省去N次编译),而Statement是编译N次执行N次。

因为PrepareStatement在执行sql时执行条件自带’'单引号,所以在进行排序等其他操作时,desc,asc会自动加单引号,所以StatemMent依旧在一些场所可用。
当然排序如果时在最后的话,利用字符串拼接也可以用ParpareStateMent

舟浔川
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
prepareStatementStatement区别
09-23
prepareStatementStatement区别
PrepareStatementStatement之间的区别
luckykapok918的专栏
12-10 403
①PrepareStatement是预编译,对于批量处理可以大大提高运行效率。 ②如果说所使用的SQL语句是一次性的话,那么使用Statement较好,因为,这样的话使用PrepareStatement并不会产生太大的效果,相反,可能还会在性能方面劣于Statement,毕竟PrepareStatement对象开销比Statement较大。 ③Statement每次执行SQL语句,相关数据库
statement和prepareStatement区别
热门推荐
HaC 的博客
09-16 1万+
一、语法 两者的语法区别 statement语法 Statement stmt = connect.createStatement(); String sql= "SELECT * FROM cg_user WHERE userId=10086 AND name LIKE 'xiaoming'"; ResultSet rs = stmt.executeUpdate(sql); prepar...
Statement和PrepareStatement区别详解
shang_bo_liang的博客
05-07 773
1.PreparedStatement继承自Statement,两者都是接口。 2.内部都要建立类似于Sockt连接,效率都不是特别高。 从资源利用和安全的角度区分两者的不同: 关于批处理时如何选择,以数据量大小位标准分三种情况: 1)量比较小,二者皆差别不大。 2)量比较多,在PreparedStatement预编译空间范围之内,选择PreparedStatement,因为其只预编译一...
Statement和PrepareStatement有什么区别
chenling_ling的专栏
08-11 583
Statement用于执行静态sql语句,在执行时,必须指定一个事先准备好的sql语句。 PrepareStatement是预编译的sql语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句中可以包含动态参数“?”,在执行时可以为“?”动态设置参数值。 使用PrepareStatement对象执行sql时,sql被数据库进行解析和编译,然后被放到命令缓冲区,每当执
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement ps = connection.prepareStatement(sql); ps.setInt(1, 10); ``` 在这个例子中,我们想知道实际执行的SQL语句是"SELECT * FROM table WHERE id = 10"。为了实现这个需求,我们可以自定义一个辅助...
prepare cashflow_cashflow_statement_
10-04
现金流量表(Cashflow Statement)是企业财务报告的重要组成部分,用于揭示企业在一定会计期间内现金的流入和流出情况,展示了公司的经营、投资和筹资活动对现金的影响。它可以帮助投资者、管理层和其他利益相关者...
java中PreparedStatementStatement详细讲解
08-25
pstmt = conn.prepareStatement("SELECT * FROM admin WHERE username = ? AND password = ?"); pstmt.setString(1, "韦小宝"); pstmt.setString(2, "222' OR '8'='8"); ResultSet rs = pstmt.executeQuery(); ...
JDBC中Statement和Preparement的使用讲解
08-26
JDBC 中 Statement 和 PrepareStatement 的使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本的 SQL 语句执行功能。PrepareStatementStatement 的子接口,提供了预编译的功能,可以提高性能和安全...
PrepareStatementStatement区别
白开水
03-21 3268
1.prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率,不用一直更改SQL语句,只需要修改变量就行了,还可以有效的防止SQL注入攻击。 2.使用 Statement 对象。在对数据库只执行一次性存取 PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句,相关数据库都要执行sql语句的编译, preparedstatement是预编译得, prepare
Statement和PrepareStatement区别
qq_55018589的博客
04-16 998
1.Statement 和 PreparedStatement之间的关系和区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 就比如说 String sql="select * from user where us...
PrepareStatementStatement区别
Leon_Jinhai_Sun的博客
12-15 224
两个都是接口,PrepareStatement 是继承自Statement 的; Statement 处理静态SQL,PreparedStatement 主要用于执行带参数的语句; PreparedStatement 的addBatch()方法一次性发送多个查询给数据库; PS 相似SQL 只编译一次(对语句进行了缓存,相当于一个函数),减少编译次数; PS 可以防止SQL 注入; MyBatis 默认值:PREPARED ...
2、PrepareStatementStatement区别
11-11 504
场景再现: 我一直以为只是面试时会遇到的小知识点,结果刚刚工作的我就发现项目中的一个小程序,用的Statement。所以回顾他们有什么区别? 答案: 1、都是接口,但PrepareStatement 继承了Statement。 2、PrepareStatement 可以使用占位符,用“?”占位,是预编译时期替换为 值。批处理比Statement高。而Statement只能执行静态sql,即:字符串 3、PrepareStatement 使用方法: Statement使用方法: .
【MyBatis 6,springcloud从入门到精通教程
m0_61439678的博客
09-06 273
(1)ResultSet getResultSet() 以 ResultSet 对象的形式获取当前结果 (2)int getUpdateCount() 以更新计数的形式获取当前结果;如果结果为 ResultSet 对象或没有更多结果,则返回 -1 (3)boolean getMoreResults() 移动到此 Statement 对象的下一个结果,如果其为 ResultSet 对象,则返回 true,并隐式关闭利用方法 getResultSet 获取的所有当前 ResultSet 对象 (4)boolea
PrepareStatementStatement的对比
击水三千里的专栏
12-30 1258
PrepareStatementStatement的对比
JAVA集锦(四)--PrepareStatementStatement区别
思想上移,行动下移
08-28 686
preparestatement继承于statement,由此我们可以得到初步结论:preparestatementstatement的基础上进一 步实现了自己特有的一些方法和属性,preparestatement是对statement的扩展和优化。   1.可读性和可维护性           Statement用于执行静态sql语句,在执行时必须指定一个事先准备好的sql语句。执行
PrepareStatementStatement的联系和区别
chris__x的博客
06-15 943
联系:PrepareStatement继承自Statement,两者都是接口,内部都要建立Socket连接,效率都不是很高。 区别主要有以下几点 1、性能方面 PreparedStatement有预编译的过程,已经绑定sq|,之后无论执行多少遍,都不会再去进行编译。而statement不同,如果执行多少遍,则相应的就要编译多少遍sql,所以preStatement的效率比Statement要高一些 Statement statement = conn.createStatement(); PreparedS
使用PrepareStatement实现插入数据、查询数据、ResultSet和ResultSetMetaData及资源释放
m0_61961937的博客
09-19 2350
使用PrepareStatement实现插入数据、查询数据、ResultSet和ResultSetMetaData及资源释放
jdbc中statement和preparestatement区别
最新发布
05-05
在 JDBC 中,Statement 和 PreparedStatement 都是用于执行 SQL 语句的接口,但它们之间有以下的区别: 1. PreparedStatement 预编译: PreparedStatement 对象在执行 SQL 语句之前会进行预编译,这样可以提高 SQL ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值