JDBC中 PreparedStatement 与 Statement 的比较

最新推荐文章于 2022-08-31 19:46:07 发布
最新推荐文章于 2022-08-31 19:46:07 发布
阅读量127 收藏 1
点赞数 3
分类专栏: java 文章标签: jdbc java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50897975/article/details/119426518
版权

PreparedStatement(预编译)与  Statement  的关系:

PreparedStatement继承自Statement,都是接口

PreparedStatement(预编译)与  Statement  的区别:

1、语法不同:

PreparedStatement可以使用预编译的sql,只需要发送一次sql语句,后面只要发送参数即可,公用一个sql语句。

Statement只能使用静态的sql。 

delete from student where id=1;

2、效率不同:PreparedStatement使用了sql缓冲区,可以使用占位符,效率要比Statement高。

3、安全性不同:PreparedStatement可以有效的防止sql注入,而Statement不能防止sql注入。

下面是很长时间之前经常出现的sql注入问题,由于之前使用 Statement接口完成JDBC,Statement是字符串简单的拼接,就会造成sql注入,比如用户登录,创建的`name`字段值为'xxx' OR 1=1 --y' AND  这时候你的密码passw不管输入什么都能登录查询。
CREATE  TABLE  users(
     id  INT  PRIMARY  KEY  AUTO_INCREMENT,
     ` name VARCHAR (10),
     ` password VARCHAR (10)
);
INSERT  INTO  users(` name `, ` password `)  VALUES ( 'lisi' ,123);
SELECT  FROM  users  WHERE  1=1;   -- 1=1   true
SELECT  FROM  users  WHERE  ` name `= 'lisi'  AND  ` password `= '123' ;
--  zhangsan' OR 1=1 -- y 
SELECT  FROM  users  WHERE  ` name `='zhangsan ' OR 1=1 -- y'  AND  ` password `= '343' ;
由于字符串简单的拼接,sql语句的查询条件相当于   WHERE  ` name `='zhangsan ' OR true;后面的成为了注释,严重影响了安全性。
PreparedStatement使用占位符,类似于变量那样一个字段一个字段的赋值,一个萝卜一个坑,有效的解决了sql注入问题,效率也要比Statement高出很多。
下图为我练习JDBC时的一个插入数据测试方法,体现PreparedStatement的一个萝卜一个坑用法(占位符)

 

王者生辉
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析Statement和PreparedStatement的区别
weixin_34218890的博客
02-16 630
当我们使用java程序来操作sql server时会使用到Statement和PreparedStatement,俩者都可以用于把sql语句从java程序发送到指定数据库,并执行sql语句。那么如何进行一个较好的选择? 首先,我们来看俩者的区别: Statement和PreparedStatement的区别(1) 1、直接使用Statement,驱动程序一般不会对sql语句作...
34.jdbcpreparedStatementStatement的好处.avi
03-07
jdbcpreparedStatementStatement的好处
PreparedStatementstatement的区别
xupt_rl的博客
07-21 4507
一、PreparedStatement概述    PreparedStatementstatement的子类,它的实例对象可以通过调用Connection.preparedStatement()方法来获得,相对于Statement对象,PreparedStatement可以防止SQL注入。   另外Statement会使得数据库频繁编译SQL,有可能会造成数据库缓冲区溢出。PreparedSta...
PreparedStatementStatement的区别
m0_60418397的博客
08-11 6588
PreparedStatementStatement 的区别: 1.PreparedStatement在使用时只需要编译一次,就可以运行多次,Statement每运行一次就编译一次,所以PreparedStatement的效率更高 2.PreparedStatement需要的sql语句为用?(占位符)来替换值,Statement所需要的sql语句为字符串拼接 3.PreparedStatement解决了sql注入的问题,Statement没有解决,因为PreparedStat.
Statement和PreparedStatement的区别
热门推荐
一只大鹏鹏的博客
07-21 1万+
区别: 1、PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3、statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement预编译得, preparedstatement支持...
prepareStatement的用法和解释
sy18868876085的博客
04-30 572
[size=large]1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句,相关数据库...
详解JavaJDBCStatement与PreparedStatement对象
09-03
主要介绍了详解JavaJDBCStatement与PreparedStatement对象,PreparedStatement一般来说比使用Statement效率更高,需要的朋友可以参考下
Java面试题34.jdbcpreparedStatementStatement的好处.mp4
最新发布
09-09
Java面试题34.jdbcpreparedStatementStatement的好处.mp4
JavaWeb拾遗(7)JDBC Statement PreparedStatement CLOB/BLOB大型数据存储
01-19
JDBC JDBC(Java Database Connectivity)可以为多种关系型数据库提供统一的访问操作接口。 JDBC API:提供各种访问操作接口。 Driver:数据库的驱动程序一般由第三方提供: Oracle ojdbc-x.jar MySQL mysql-connector-...
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
javaPreparedStatementStatement的区别
12-26
javaPreparedStatementStatement的区别
statement和prepared区别
07-27
jdbcstatement和prepared区别,jdbcstatement和prepared区别
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别
preparedstatementstatement的区别
Tough_dxx的博客
07-20 845
1、preparedstatement是什么? java.sql包的PreparedStatement 接口继承了Statement,并与之在两方面有所不同:有人主张,在JDBC应用,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement。 说明——该 PreparedStatement接口继承Statement,并与之在两方面有所不同: PreparedStatement 实例包含已编译的 SQL 语
preparedStatementStatement区别及联系
一枚数学专业的小码农的博客
08-31 6830
JDBCpreparedstatementstatement的区别
什么是绑定变量,有什么优缺点?
咖啡牛奶和糖的博客
11-11 1万+
提到绑定变量,首先肯定想到硬解析和软解析。绑定变量时解决硬解析的利器。 硬解析:就是一条没有执行过的sql。数据库首先对他进行语法分析和解析,过后,根据分析的信息生成最好的执行计划,然后执行。 软解析:就是已经存在了一样的sql语句了 绑定变量实质就是变量。类似于我们是用过的替代变量(占位符)。就是在sql语句使用变量,通过改变变量的值来得到不同的结果。 sql语句是分为动态部分
PreparedStatementStatement区分
weixin_46103566的博客
08-10 205
Statement 和 PreparedStatement 的区别: 添加或者更新的时候,尽量使用 PreparedStatement ,而不是使用StatementStatement用于执行静态SQL语句,在执行的时候,必须指定一个事先准备好的SQL语句,并且相对不安全,会有SQL注入的风险。 PreparedStatement是预编译的SQL语句对象,sql语句被预编译并保存在对象, 被封装的sql语句可以使用动态包含的参数。 使用PreparedStatement对象执行sql的时候,sql被
PreparedStatementStatement关系和区别的简单概述
sss111166的博客
06-23 1702
PreparedStatementStatement关系和区别的简单概述
JDBC 的 PreparedStatement 相比 Statement
05-24
PreparedStatementStatement 的子类,它们的主要区别在于 PreparedStatement 可以使用预编译功能,即在执行 SQL 语句之前,数据库会将 SQL 语句编译成二进制格式并存储在缓存,下一次执行相同的 SQL 语句时,只需要将参数传递给缓存的预编译语句即可,这比每次执行 SQL 语句都需要编译一次更加高效。在执行批量操作时,使用 PreparedStatement 也比 Statement 更加高效。 此外,PreparedStatement 还可以防止 SQL 注入攻击,因为它使用参数化查询,而不是将 SQL 语句与用户输入直接拼接,从而避免了恶意用户通过输入特殊字符来破坏 SQL 语句的情况。因此,在实际开发,PreparedStatement 更加安全和可靠。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值