Statement和PreparedStatement的区别

最新推荐文章于 2022-07-23 08:08:36 发布
最新推荐文章于 2022-07-23 08:08:36 发布
阅读量414 收藏
点赞数 2
分类专栏: MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuiop123455/article/details/107249453
版权

Statement和PreparedStatement的区别

一,Statement对象

Statement对象主要是将SQL语句发送到数据库中。JDBC API中主要提供了三种Statement对象。

1,Statement对象

1)用于执行不带参数的简单SQL语句
2)使用Statement对象,将变量手动设置到SQL语句中(通过拼接的方式),可能导致SQL注入,见下面例子:
例1:

select * from user where username = '输入变量的值';

在这里插入图片描述
这样就没有处理单引号,SQL语句就存在问题。可能会导致查询到一些其他的内容,导致数据泄露。

2,PreparedStatement对象

1) 用于执行带或者不带参数的SQL语句
2) 执行速度快于Statement对象,因为PreparedStatement 接口继承 Statement,PreparedStatement 实例包含已编译的 SQL 语句,预编译在数据库系统(预编译时带占位符的SQL,之后只要传入参数,就可以在预编译好的SQL语句中执行)

3) 安全上比Statement对象更好,可以防止SQL注入。
4)PreparedStatement对象防止SQL注入的原理:

  • 使用占位符,并预编译SQL语句
  • 符号在转义后将变量设置占位符(具体就是单引号在转义后替换占位符)

5)只是基于单引号的转义,但是其他类型的SQL注入的方式就太多了,所以不能防止所有的SQL注入
6) 作 为 Statement 的 子 类 , PreparedStatement 继承Statement 的 所 有 功 能 。 三 种 方法 execute、 executeQuery 和executeUpdate 已被更改以使之不再需要参数

3、在 JDBC 应用中不要使用 Statement

原因如下:
一、代码的可读性和可维护性.Statement 需要不断地拼接,而 PreparedStatement 不会。
二、PreparedStatement 尽最大可能提高性能.DB 有缓存机制,相同的预编译语句再次被调用不会再次需要编译。
三、最重要的一点是极大地提高了安全性.Statement 容易被 SQL 注入,而 PreparedStatementc 传入的内容不会和 sql 语句发生任何匹配关系。

爱得恋
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tatement和PreparedStatement之间的区别
hu_bj的专栏
02-12 361
转自:http://blog.sina.com.cn/s/blog_3e9d2b3501000a52.html 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement...
Statement对象和PreparedStatement对象区别
z0912110的博客
05-21 384
jdbc操作流程
PreparedStatementStatement区别和联系
runfeel
04-03 234
1、关系 PreparedStatement继承Statement,他们属于父与子的关系。使用上来说Statement使用的地方都可以换成PreparedStatement。 2、安全性 Statement的直接执行SQL语句,无法防止SQL注入问题。PreparedStatement可以使用占位符,可以防止SQL注入问题。 这里举例说明: 使用Statement ...
Statement 和 PreparedStatement比较
qq_30124241的博客
09-25 318
PrepareStatement是继承自StatementStatement 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句。),有人说,如果是一个良好的程序员,他在任何时候都应该使用PrepareStatement而不是使用Statement。        Prep
Statement和PreparedStatement之间的区别
01-14
Statement和PreparedStatement之间的区别 Statement和PreparedStatementJDBC的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
javaPreparedStatementStatement详细讲解
08-25
Java 的 PreparedStatementStatement 是两个常用的数据库操作接口,但是它们之间存在着一些关键的区别,特别是在防止 SQL 注入攻击方面。PreparedStatement 对象可以防止 SQL 注入,而 Statement 对象则不能...
详解Java的JDBCStatement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity),与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
PreparedStatementStatement
03-22
这个项目可能包含了使用`PreparedStatement`和`Statement`的例子,通过分析这些代码,你可以更好地理解两者的应用和区别。 总结,`PreparedStatement`和`Statement`在Java数据库操作各有优势。在追求性能、安全性...
prepareStatementStatement区别
09-23
prepareStatementStatement区别 prepareStatementStatement是 Java 两个常用的数据库操作接口,它们都可以用来执行 SQL 语句,但是它们之间有着明显的区别。 首先,从创建时的区别开始,Statement 需要...
javaPreparedStatementStatement区别
12-26
Java PreparedStatementStatement区别 Java 的 PreparedStatementStatement 都是用于执行 SQL 语句的接口,但是它们之间存在一些关键的区别。 首先,从数据库执行 SQL 语句的角度来看,使用 ...
JDBCStatement和Preparement的使用讲解
08-26
JDBC Statement 和 PrepareStatement使用讲解 Statement 对象是用来执行 SQL 语句的接口,提供了基本的 SQL 语句执行功能。PrepareStatementStatement 的子接口,提供了预编译的功能,可以提高性能和安全...
Java数据库连接PreparedStatement使用详解
08-29
下面将详细介绍 PreparedStatement使用方法和优点。 PreparedStatement 的定义 PreparedStatement 是一种预编译的 SQL 语句,用于执行数据库的 CRUD 操作。它可以将 SQL 语句与参数分离,提高了执行效率和安全...
connection 和 preparedstatement 的关闭问题
01-29
正确地选择`Statement`和`PreparedStatement`以及适时地关闭它们对于保证应用程序的性能和稳定性至关重要。理解它们之间的区别,并根据实际需求选择合适的方法,能够显著提升应用的质量。同时,合理管理`Connection`...
JavaWeb拾遗(7)JDBC Statement PreparedStatement CLOB/BLOB大型数据存储
01-19
JDBC JDBC(Java Database Connectivity)可以为多种关系型数据库提供统一的访问操作接口。 JDBC API:提供各种访问操作接口。 Driver:数据库的驱动程序一般由第三方提供: Oracle ojdbc-x.jar MySQL mysql-connector-...
JDBC Statement 和 PreparedStatement 对象之间的主要区别
allway2的博客
07-23 203
因此,对于前面的用例(使用Statement对象),c和d阶段将花费相同的时间,但a和b阶段将只花费0.1秒。它可以处理静态和动态SQL查询,因为预编译的SQL查询可以是带有或不带有输入的静态查询,也可以是带有参数的动态查询。-它是JDBC驱动程序软件提供的Java类的对象,它实现了java.sql.Statement(I)。它是JDBC驱动程序软件提供的Java类的对象,它实现了java.sql.PreparedStatement(I)。...
Performance Tips for JDBC
波波熊的专栏
12-11 302
翻译:陈先波(turbochen@163.com) 阅读原文:http://www.theserverside.com/articles/article.tss?l=JDBCPerformance_PartIII 一、使用Statement而不是PreparedStatement对象 JDBC驱动的最佳化是基于使用的是什么功能. 选择PreparedStatement还是Statement取决于...
jdbcStatement和PreparedStatement有什么区别?哪个性能更好?
TH226的专栏
01-17 2298
Statement和PreparedStatement的功能主要是对sql语句的执行 区别 (1)Statement每执行一条sql语句就需要生成一条执行计划,执行100条就需要100条执行计划PreparedStatement在执行相同 功能的sql语句,但仅仅是参数不同时,则只需要编译一次,更适合批量处理 (2)PreparedStatement的SQL语句是可以带参数的,避免了用字
写出jdbcStatement和PreparedStatement区别?
最新发布
06-01
JDBCStatement和PreparedStatement都是执行SQL语句的接口,但是它们之间有以下几个区别: 1. 预编译:PreparedStatement在执行前会先进行编译,这意味着它可以重复执行,而不需要每次都编译一遍,因此可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值