PrepareStatement与Statement在使用时的区别:

最新推荐文章于 2024-05-19 21:34:53 发布
最新推荐文章于 2024-05-19 21:34:53 发布
阅读量107 收藏
点赞数 1
分类专栏: javaweb 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48637535/article/details/119152142
版权

PrepareStatement与Statement在使用时的区别:

Statement:

Sql

executeUpdate(sql)

PrepareStatement:

Sql(可能存在占位符)

在创建PrepareStatement 对象时,将sql预编译 PrepareStatement()

executeUpdate()

setXxx()替换占位符?

推荐使用PrepareStatement 原因如下:

1.编码更加简便(避免了字符串的拼接)

例如:

String name=”zs”;

Int age=23;

Statement:

String sql =”insert into student(stuno,stuname) values(‘“+name+”’,”age”)”;

          Stmt.executeUpdate(sql);

PrepareStatement:

Statement:String sql =”insert into student(stuno,stuname) values(?,?)”;

          pstmt=connection.PrepareStatement(sql);//预编译sql

          pstmt.setString(1,name);

          pstmt.setInt(2,age);

2.提高性能(因为有预编译操作,一般来说预编译只执行一次)

例:需要重复增加100条(批量处理)

Statement:每次sql都得编译执行

String sql =”insert into student(stuno,stuname) values(‘“+name+”’,”age”)”;

           For(100)   Stmt.executeUpdate(sql);

PrepareStatement:

Statement:String sql =”insert into student(stuno,stuname) values(?,?)”;

          pstmt=connection.PrepareStatement(sql);//预编译sql

          pstmt.setString(1,name);

          pstmt.setInt(2,age);

          For(100)     Pstmt.executeUpdate(sql);//sql不需要编译,只需要执行

3.安全(能有效防止sql注入)

sql注入:将客户输入的内容与开发人员的SQL语句混为一体

例如:

Statement:存在被sql注入的风险

(例如输入  用户名:任意值 ‘ or 1=1 --

密码;任意值)

分析:

Select count(*) from login where uname =’任意值’ or 1=1 --’and upwd=’任意值’;

Select count(*) from login where uname =’任意值’ or 1=1;  --’and upwd=’任意值’;

原因:利用逻辑语句使用户名永远为真,再利用数据库语言中--将密码注释掉,导致输入为真

PrepareStatement:有效防止sql注入()因为pstmt用?代替变量)

一只小百里
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
java中PreparedStatement类的setString用法
nc_yongyou的专栏
09-03 3万+
java中PreparedStatement类的setString用法 [ 标签:java, preparedstatement, 用法 ] 匿名 2009-05-15 14:40 文档中是这样写的void setString(int parameterIndex,String x) conn = DriverManager.getConnection(url, userName, pas
Java中JDBC的PreparedStatement用法
热门推荐
午-夜
07-17 6万+
PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement的用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
statementprepareStatement的用法和解释
bit-cafe
09-06 2万+
一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.stateme
初学JDBC(四)-使用Preparedstatement接口实现增删改操作
Sweet Baby,甜宝
11-18 2万+
上一篇博客中我讲了使用Statement对数据库中的表内容进行增删改操作,先讲了原始的增删改即每次增加删除修改都需要加载数据库驱动,连接数据库,执行SQL语句,关闭数据库,这样的话,代码的重复量有些大,代码冗余比较明显,后来进行修改,运用了Java继承封装和多态的思想,对原来的增删改代码进行了优化,这一篇博客我来说说用PreparedStatement接口实现对数据库表内容的增删改操作,在现实的开
构造方法和setXxx方法
一个程序小白的博客
11-04 1781
区别 构造方法: 用于属性初始化 setXxx方法: 可以修改属性值 若是用构造方法修改属性值,则需要另创建对象,然后赋值,但是这样的结果会使一开始的对象变成垃圾被回收。用setXxx()就能实现改变本对象的属性值 class Demond_Person { public static void main(String[] args){ Person p1 = new Person("张三"...
面试题:StatementPrepareStatement区别
08-15 2595
Statement用于执行静态SQL语句,在执行,必须指定一个事先准备好的SQL语句。 PrepareStatement是预编译的SQL语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句中可以包含动态参数“?”,在执行可以为“?”动态设置参数值。 使用PrepareStatement对象执行sql,sql被数据库进行解析和编译,然后被放到命令缓冲区,每当执行同一个PrepareStatement对象,它就会被解析一次,但不会被再次编译。在缓冲区可以发现预编..
prepareStatementStatement区别
09-23
prepareStatementStatement区别
JDBC PrepareStatement 使用(附各种场景 demo)
01-14
该资源中包含 JDBC 连接 MySQL 完整代码、常规 select、update 语句完整代码,以及 JDBC 批量处理数据的几种不同方式完整代码,且附带 使用说明!
prepare cashflow_cashflow_statement_
10-04
Do you know how to prepare a cashflow statement?
解决oracle 驱动bug: preparestatement ArrayIndexOutOfBounds
05-25
In Oracle Metalink (Oracle's support site - Note ID 736273.1) I found that this is a bug in JDBC adapter (version 10.2.0.0.0 to 11.1.0.7.0) that when you call preparedStatement with more than 7 ...
IDENTITY_INSERT:java数据库操作JDBC-SQL插入数据(含自增列)
smm的博客
10-22 2708
IDENTITY_INSERT:java数据库操作JDBC-SQL插入数据(含自增列)
prepareStatementStatement区别
“水皮”的学习专栏
06-05 694
prepareStatementStatement区别 SQLJDBC PrepareStatementStatement的主要区别: 1:创建区别Statement stm=con.createStatement(); PreparedStatement pstm=con.prepareStatement(sql); 执行的候: stm.ex
jar包增量更新分析
junlaiyan的专栏
05-16 315
借助jdeps分析出jar包的增量文件
java实现拼图小游戏
monkey108的博客
05-16 675
本文主要提供用java实现的拼图小游戏源代码。
分布式锁2-Zookeeper分布式锁实战
最新发布
qq_43676797的博客
05-19 153
使用curator操作Zookeeper进行实战;:Apache Curator包含一套高级API框架和工具类,它 是Apache ZooKeeper 的Java 客户端库。
命令执行漏洞(二)
XLbb的博客
05-15 934
POST方法,S2-045-bypass-2漏洞存在!,程序更改为S2-045-bypass-2漏洞测试模式, 响应码: 200。POST方法,S2-046-bypass漏洞存在!POST方法,S2-045-bypass漏洞存在!POST方法,S2-046-1漏洞存在!POST方法,S2-046-2漏洞存在!POST方法,S2-046-3漏洞存在!POST方法,S2-045-1漏洞存在!POST方法,S2-045-3漏洞存在!POST方法,S2-045-2漏洞存在!POST方法,S2-045-4漏洞存在!
statementpreparestatement
03-16
preparestatement是一个预编译的接口,它可以在执行SQL语句之前将SQL语句编译成一种数据库可以理解的格式。这样,每次执行SQL语句,只需要将参数传递给preparestatement,而不需要重新解析和编译SQL语句。这可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一只小百里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值