JDBC使用PreparedStatement好处

最新推荐文章于 2022-08-29 16:48:37 发布
最新推荐文章于 2022-08-29 16:48:37 发布
阅读量1.8k 收藏
点赞数
分类专栏: mysql JavaEE

http://blog.itpub.net/28912557/viewspace-1146364/

我们为什么在程序中要使用PreparedStatement而不是Statement?有以下几个原因。
1,从程序本身的角度来看PreparedStatement更具效率。
我们通过connection.preparedStatement(sql)方法来获得PreparedStatment对象,然后通过preStatement.setXXX来设置查询参数。
如果我有2个查询,SQL语句都一样,但是参数不同,使用PreparedStatment的话只需setXXX不同的参数、再次查询即可,而如果使用Statement的话,
需要重新创建Statement对象,connection.createStatement().execute(sql);

2,从数据库层面来讲,PreparedStatment更具效率。
在使用PreparedStatement时,数据库系统会对sql语句进行预编译处理(前提是JDBC驱动支持),具体包括SQL语句的分析,编译,优化等过程预编译后会缓存起来,执行计划同样也会缓存起来编译的sql查询语句能在将来的查询中重用(同样的查询,哪怕参数值不同)。

需要注意的是,使用PreparedStatement时,SQL不要用String追加参数值,而应该使用preStatement.setXXX来设置查询参数。


3,PreparedStatment可以防止SQL注入。
如:String sql = "SELECT * FROM user WHERE name = '"+ userName + "' and password = '"+ passWord +"';"
恶意输入参数值:userName = "1' OR '1'='1";    passWord = "1' OR '1'='1";
最终sql会变成:String sql = "SELECT * FROM user WHERE name = '1' OR '1'='1' and password= '1' OR '1'='1';"
这条语句相当于select * from user。
如果用户再加上drop table user,后果将不堪设想。
所以使用PreparedStatement能避免此种情况,因为数据库系统不会将参数的内容视为SQL指令的一部分来处理,只有在数据库完成SQL指令的编译后,才套用参数运行。因此就算参数中含有破坏性的指令,也不会被数据库所运行。

zygzzp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDBCPreparedStatement类中预编译的综合应用解析
09-05
PreparedStatement是Java JDBC中用于执行预编译SQL语句的接口,它是Statement的子接口。预编译的SQL语句可以提高数据库操作的性能和安全性。在数据库系统中,预编译意味着SQL语句在首次执行前已经过编译,形成一个...
PreparedStatement使用好处
weixin_52714188的博客
07-09 1499
数据库连接被用于向数据库服务器发送命令和SQL语句,在连接建立后,需要对数据库进行访问,执行sql语句在java.sql包中有3个接口分别定义了对数据库的调用的不同方式:Statement,PreparedStatement,CallableStatemen。 PreparedStatement接口是Statement的子接口,它表示一条预编译过的SQL语句,有如下好处: 1代码的可读性和可维护性 2 PreparedStatement能提高性能:PreparedStatement执行sql后为预编译
关于PreparedStatement使用及优点
czy_fighting的博客
08-20 560
JDBCPreparedStatement使用
JDBC使用PrepareStatedment预编译机制的好处
zhang__1234的博客
08-29 506
PreparedStatementment预编译机制的原理和使用预编译的好处
JDBC中Statement和PreparedStatement的择弃
分享,卓越
07-20 1421
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement
[疯狂Java]JDBCPreparedStatement预编译执行SQL语句
热门推荐
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
34.jdbcpreparedStatement比Statement的好处.avi
03-07
jdbcpreparedStatement比Statement的好处
浅析JDBC使用方法
09-07
JDBC为Java开发者提供了与数据库交互的标准接口,通过理解JDBC的基本使用步骤和创建工具类的方法,可以更高效地进行数据库操作。合理使用配置文件可以提升代码的可扩展性和适应性。在实际开发中,还应注意资源的管理...
Java JDBC基本使用方法详解
08-19
JDBC执行SQL语句的方式主要有三种:使用Statement执行sql语句、使用PreparedStatement执行sql语句、使用CallableStatement执行sql语句。Statement对象可以使用createStatement()来获取,PreparedStatement对象可以...
详解Java的JDBC中Statement与PreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是Statement和PreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
JSP中的PreparedStatement对象操作数据库的使用教程
10-22
主要介绍了JSP中的PreparedStatement对象操作数据库的使用教程,文中举了一些使用PreparedStatement预处理语句对象进行MySQL增删查改的例子,需要的朋友可以参考下
JDBC使用PreparedStatement好处
cufu3352的博客
04-21 144
我们为什么在程序中要使用PreparedStatement而不是Statement?有以下几个原因。 1,从程序本身的角度来看,PreparedStatement更具效率。 我们通过connection.prepa...
相对于Statement,PreparedStatement的优点
YKYZSYA的博客
08-01 215
PreparedStatement有助于防止SQL注入,因为它会自动对特殊字符转义。 PreparedStatement可以用来进行动态查询。 PreparedStatement执行更快。尤其当你重用它或者使用它的拼量查询接口执行多条语句时。 使用PreparedStatement的setter方法更容易写出面向对象的代码,而Statement的话,我们得拼接字符串来生成查询语句。 如果参数太多了,字符串拼接看起来会不美观并且容易出错。 ...
JDBC使用预编译SQL的好处
乘风破浪的博客
05-12 2218
1. 执行效率 PreparedStatement可以尽可能的提高访问数据库的性能,数据库在处理SQL语句时都有一个预编译的过程,而预编译对象就是把一些格式固定的SQL编译后,存放在内存池中即数据库缓冲池,当我们再次执行相同的SQL语句时就不需要预编译的过程了,只需DBMS运行SQL语句。所以当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间
JDBC中的PreparedStatement相比Statement的好处有哪些?
afa的专栏
09-19 488
1、相对比较安全,可以防止sql注入 2、有预编译功能,相同操作批量数据效率较高 PreparedStatement 是预编译 ,使用Statement时 sql 中要进行很多的单引号拼接字符串,首先是容易出错也比较麻烦,还有就是存在sql 注入问题这是从安全方面说的。 PreparedStatement 传参数时候用 了占位符 “?”很好的解决了以上Statement的问题。我所体会...
PreparedStatement 预编译原理 可防止SQL注入
肖恩的专栏
05-09 4542
原文链接:http://www.iteye.com/problems/32029 相关链接:验证preparedStatement防止SQL注入: http://blog.csdn.net/badyflf/article/details/7926944 preparedStatement 有三大优点: 一.代码的可读性和可维护性. 二.PreparedStatement尽最
使用 preparedstatement好处
KimSoft's Blog
05-23 1928
1、防止 SQL 注入攻击2、预编译,处理速度加快3、存储多行文本时无需转码,有效利用数据库空间4、代码可读性,可维护性比 SQL要好。
PreparedStatement和Statement的区别
westonduo的专栏
07-28 505
在drp视频中,老师在数据库执行sql语句的时候多使用的是PreparedStatment,但是也提到了Statement。在视频中提到了一些区别,但是觉得不是很详细。   视频中提到PreparedStatement的优点包括两个:    1)会尽可能的提高性能    2)提高安全性(防止SQL Injeciton)   如争光说的二者相差一个单词Prepared,pre
PreparedStatement相较于Statement的优点
无名老仙
09-25 1307
jdbc组件中,尽量使用PreparedStatement而避免使用Statement,原因如下: 1、PreparedStatement可读性更高,维护性更强(Statement需要动态拼接); 2、PreparedStatement在被编译后会被缓存下来,下次调用相同的预编译语句时不需要重新编译,只需传入对应参数就行;而对于Statement来说,及时insert into tb_name ...
jdbc使用preparedstatement
最新发布
04-10
使用PreparedStament是为了避免SQL注入攻击和优化性能。PreparedStament和Statement最大的不同是它能够预编译(compile)一条SQL语句并重复执行,而不必每次执行时都重新编译。这样可以减少数据库执行SQL的次数,提高效率。同时,PreparedStament使用占位符(placeholder)代替动态插入SQL语句中的变量,可以有效防止SQL注入攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值