JDBC

最新推荐文章于 2023-03-20 12:55:33 发布
最新推荐文章于 2023-03-20 12:55:33 发布
阅读量805 收藏 3
点赞数
分类专栏: oracle 文章标签: 数据库 sql注入


JDBC为什么要使用PreparedStatement而不是Statement

PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement还经常会在Java面试被提及,譬如:Statement与PreparedStatement的区别以及如何避免SQL注入式攻击?这篇教程中我们会讨论为什么要用PreparedStatement?使用PreparedStatement有什么样的优势?PreparedStatement又是如何避免SQL注入攻击的?

PreparedStatement是什么?

PreparedStatement是java.sql包下面的一个接口,用来执行SQL语句查询,通过调用connection.preparedStatement(sql)方法可以获得PreparedStatment对象。数据库系统会对sql语句进行预编译处理(如果JDBC驱动支持的话),预处理语句将被预先编译好,这条预编译的sql查询语句能在将来的查询中重用,这样一来,它比Statement对象生成的查询速度更快。下面是一个例子:

public class PreparedStmtExample {
 
     public static void main(String args[]) throws SQLException {
         Connection conn = DriverManager.getConnection( "mysql:\\localhost:1520" , "root" , "root" );
         PreparedStatement preStatement = conn.prepareStatement( "select distinct loan_type from loan where bank=?" );
         preStatement.setString( 1 , "Citibank" );
 
         ResultSet result = preStatement.executeQuery();
 
         while (result.next()){
             System.out.println( "Loan Type: " + result.getString( "loan_type" ));
         }      
     }
}
Output:
Loan Type: Personal Loan
Loan Type: Auto Loan
Loan Type: Home Loan
Loan Type: Gold Loan

这个例子中,如果还是用 PreparedStatement 做同样的查询,哪怕参数值不一样,比如:”Standard Chated” 或者”HSBC”作为参数值,数据库系统还是会去调用之前编译器编译好的执行语句(系统库系统初次会对查询语句做最大的性能优化)。默认会返回”TYPE_FORWARD_ONLY”类型的结果集( ResultSet ),当然你也可以使用preparedstatment()的重载方法返回不同类型的结果集。

预处理语句的优势

PreparedStatement提供了诸多好处,企业级应用开发中强烈推荐使用PreparedStatement来做SQL查询,下面列出PreparedStatement的几点优势。

  1. PreparedStatement可以写动态参数化的查询
    用PreparedStatement你可以写带参数的sql查询语句,通过使用相同的sql语句和不同的参数值来做查询比创建一个不同的查询语句要好,下面是一个参数化查询:

    SELECT interest_rate FROM loan WHERE loan_type=?

    现在你可以使用任何一种loan类型如:”personal loan”,”home loan” 或者”gold loan”来查询,这个例子叫做参数化查询,因为它可以用不同的参数调用它,这里的”?”就是参数的占位符。

  2. PreparedStatement比 Statement 更快
    使用 PreparedStatement 最重要的一点好处是它拥有更佳的性能优势,SQL语句会预编译在数据库系统中。执行计划同样会被缓存起来,它允许数据库做参数化查询。使用预处理语句比普通的查询更快,因为它做的工作更少(数据库对SQL语句的分析,编译,优化已经在第一次查询前完成了)。为了减少数据库的负载,生产环境中德JDBC代码你应该总是使用PreparedStatement 。值得注意的一点是:为了获得性能上的优势,应该使用参数化sql查询而不是字符串追加的方式。下面两个SELECT 查询,第一个SELECT查询就没有任何性能优势。

eg:SQL Query 1:字符串追加形式的PreparedStatemen

  1. String loanType = getLoanType();
  2. PreparedStatement prestmt = conn.prepareStatement( "select banks from loan where loan_type=" + loanType);
  1. #第二个查询就是正确使用PreparedStatement的查询,它比SQL1能获得更好的性能。



    wolixu
    关注
    • 0
      点赞
    • 3
      收藏
      觉得还不错? 一键收藏
    • 0
      评论
    专栏目录
    Java中JDBC的PreparedStatement用法
    午-夜
    07-17 6万+
    PreparedStatement l  它是Statement接口的子接口; l  强大之处: Ø  防SQL攻击; Ø  提高代码的可读性、可维护性; Ø  提高效率! l  学习PreparedStatement的用法: Ø  如何得到PreparedStatement对象: ¨      给出SQL模板! ¨      调用Connection的PreparedState
    JDBC流程
    01-20
    JDBC 使用要求加载相应jar包,所有语句自动commit 推荐一篇超详细的JDBC原理和开发步骤 https://www.jianshu.com/p/8a9635c156ea 具体流程 1、加载驱动(注册驱动) 这里推荐使用Class.forName()反射方法载入驱动,...
    JDBC中PreparedStatement详解及应用场景介绍
    最新发布
    weixin_62079735的博客
    03-20 5904
    在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。
    JAVA【JDBC】【使用PreparedStatement操作数据库
    芊樱烛渊的博客
    08-07 4710
    这里我们是先连接到了我们上述的数据表,然后将数据表中的user和password的内容独取出来,然后编成sql语句,交给我们的mysql,并且如果查询失败就返回用户名不存在或者密码错误,如果查询成功就返回登陆成功。针对于不同的表我们想要获取到的查询数据的结构一定是不同的,所以我们需要在查询的时候将我们查询的结构传入,然后利用反射机制构造出对应的对象,然后将对应的对象返回。原来我们想表达的是 xx and xx是一个并且的关系,也就是我们的use和password同时正确的时候才返回结果。...
    JDBC之使用PreparedSatement
    weixin_43945486的博客
    08-03 578
    目录1.操作和访问数据库2.使用Statement操作数据弊端3.PreparedStatement的使用3.1 介绍3.2 Java和SQL对应数据类型转换3.3 使用PreparedStatement实现增、删、改操作3.4 使用PreparedStatement实现查询操作3.4.1 查询后返回单个数据结果3.4.2 查询后返回多个数据结果集3.5 注意事项 1.操作和访问数据库 数据库连接用于向数据库服务端发送命令和SQL语句,并接受服务器端返回的结果 java.sql 包中定义对数据库的调
    JDBC中PreparedStatement
    一个很懒的人
    01-28 233
    1.SQL注入问题 1.什么是SQL注入问题? 用户输入的数据中有SQL关键字或语法并且参与了SQL语句的编译,导致SQL语句编译后的条件含义为true,一直得到正确的结果。这种现象称为SQL注入。 2.如何避免SQL注入 由于编写的SQL语句是在用户输入数据,整合后再进行编译。所以为了避免SQL注入的问题,我们要使SQL语句在用户输入数据前就已进行编译成完整的SQL语句,再进行填充数据。 2.PreparedStatement PreparedStatement继承了Statement接口,执行SQ.
    jdbc数据库
    09-02
    -为什么使用jdbc:因为java程序员工作时需要连接多种数据库(mysql,oracle,sql server),为了避免每一个数据库都学习一套新的api,sun公司定义了jdbc接口(方法的申明),各个数据库厂商去写实现类(驱动),这样...
    kingbaseV8 jdbc 驱动
    04-14
    KingbaseV8 JDBC驱动是连接KingbaseV8数据库的重要组件,允许Java应用程序通过JDBC(Java Database Connectivity)接口与数据库进行交互。JDBC是Java语言中用来规范客户端程序如何访问数据库的应用程序接口,提供了...
    SpringBoot中封装jdbc工具类
    04-08
    现在的数据层的开发,大多会使用...但是在一些极端的场景下往往原生的jdbc方式操作数据库更灵活,性能更高。由于部分场景下MyBatis或JPA之类无法满足我的需求,所以我打算自己封装一套查数据库的工具类。 文章地址: ...
    JDBC(用PrepareStatement实现)
    01-15
    JDBC实现Java与数据库的连接,该文件使用PrepareStatement实现。
    Java程序设计——PreparedStatement接口和CallableStatement接口(JDBC编程)
    Mr_John
    07-04 933
    PreparedStatement两大特点:执行带参数的SQL语句之前需要对占位符‘?’参数进行赋值,PreparedStatement提供setXXX()方法进行赋值 CallableStatement接口:用于执行数据库中的存储过程(数据库中一种特殊的预编译的SQL语句)三种带参数的存储过程:调用无返回值的存储过程: 调用有返回值的存储过程: 示例: CallableStatement接口通过setXXX()方法对IN参数进行赋值,通过registerOutParameter()方法对O
    Java数据库JDBC——prepareStatement的用法和解释
    热门推荐
    nnzhuilian的博客
    01-10 14万+
    转自:http://blog.csdn.net/QH_JAVA/article/details/48245945 一、prepareStatement 的用法和解释 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。Prepared...
    prepareStatement的用法和解释
    dazhi5407的博客
    09-27 1090
    1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编...
    JdbcPreparedStatement(推荐使用)
    weixin_44966780的博客
    09-29 115
    JdbcPreparedStatement(推荐使用) package jdbc; import org.junit.Test; import java.sql.Connection; import java.sql.PreparedStatement; import java.sql.SQLException; /** * @author 小邱 * @version 0.0.1 * @description JdbcPreparedStatementTest * @since 2021/9/
    JDBC预处理对象prepareStatement
    L-李俊漩的博客
    04-05 1193
    JDBC预处理对象prepareStatement概述 一、SQL注入问题 SQL注入:用户输入的内容作为了SQL语句语法的一部分,改变了原有SQL真正的意义。 假设有登录案例SQL语句如下: SELECT * FROM 用户表 WHERE NAME = 用户输入的用户名 AND PASSWORD = 用户输的密码; 此时,当用户输入正确的账号与密码后,查询到了信息则让用户登录。但是当用户输入的账...
    JDBC 中preparedStatement和Statement区别
    mayun1534327306的博客
    06-27 204
    一、概念 PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedS...
    JDBC中PreparedStatement简介
    Hamber_Bao的专栏
    08-13 1620
     PreparedStatement接口继承自Statement接口,PreparedStatement比普通的Statement对象使用起来更加灵活,更有效率.PreparedStatement实例包含已编译的SQL语句,SQL语句可具有一个或多个输入参数。这些输入参数的值在SQL语句创建时未被指定,而是为每个输入参数保留一个问号,作为占位符。实例:PreparedState
    JDBC中PreparedStatement与Statement的区别与使用
    tuziAcaomeii的博客
    12-04 334
    PreparedStatement与Statement的区别和使用 1.PreparedStatement PreparedStatement是预编译的,对于批量处理可以大大提高效率。也叫JDBC存储过程。 PreparedStatement是Statement的子接口表示预编译的SQL语句的对象。 SQL语句被编译并存储在PreparedStatement对象中。然后可以使用此对象多次高
    atguigu的JDBC资料
    03-06
    "atguigu的JDBC资料" 这篇资料详细介绍了Java JDBC的相关知识,包括JDBC概述、获取数据库连接、PreparedStatement的使用以及操作BLOB类型字段和批量插入等核心概念和操作。 一JDBC概述 1.1 数据的持久化 数据持久...

    “相关推荐”对你有帮助么?

    • 非常没帮助
    • 没帮助
    • 一般
    • 有帮助
    • 非常有帮助
    提交
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值