Statement和PreparedStatement的区别/PreparedStatement和Statement比较的优点

最新推荐文章于 2024-06-25 18:11:58 发布
原创 最新推荐文章于 2024-06-25 18:11:58 发布 · 865 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了PreparedStatement与Statement的关系及区别,重点介绍了PreparedStatement如何通过预编译提高代码的可读性、执行性能和安全性,避免SQL注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Statement 和 PreparedStatement之间的关系和区别.
    关系:PreparedStatement继承自Statement,都是接口
    区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 

 为什么使用 PreparedStatement?

在使用 PreparedStatement之前我们来看一下使用Statement的一个缺点

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.Scanner;
public class exercises5 {
    public static void main(String[] args) throws Exception{
        Class.forName("com.mysql.jdbc.Driver");
        Connection conn=DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/epet?characterEncoding=utf8","root","");
        Scanner input=new Scanner(System.in);
        System.out.println("请输入用户名:");
        String name=input.next();
        System.out.println("请输入密码:");
        String pass=input.next();
        String sql="select * from master where `name`=? and password=?";
        PreparedStatement ps=conn.prepareStatement(sql);
        ps.setString(1,name);
        ps.setString(2,pass);
        ResultSet rs=ps.executeQuery();
        System.out.println(sql);
        if(rs.next()){
            System.out.println("登录成功,欢迎你!");
        }else{
            System.out.println("登录失败!");
        }
    }
}

如果输入正确,输出登陆成功,否则输出登录失败。如图:                                                                      

但是我们输入了精心设计的内容,即时姓名和密码都是错误的,仍然可以显示登录成功

这是因为在使用Statement接口方法时我们需要进行sql语句的拼接,我们这样拼接不仅麻烦而且很容易出错。这就是网上典型的SQL注入攻击

这个时候使用PreparedStatement接口就不存在这个问题了 

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.util.Scanner;
public class exercises5 {
    public static void main(String[] args) throws Exception{
        Class.forName("com.mysql.jdbc.Driver");
        Connection conn=DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/epet?characterEncoding=utf8","root","");
        Scanner input=new Scanner(System.in);
        System.out.println("请输入用户名:");
        String name=input.next();
        System.out.println("请输入密码:");
        String pass=input.next();
        String sql="select * from master where `name`=? and password=?";
        PreparedStatement ps=conn.prepareStatement(sql);
        ps.setString(1,name);
        ps.setString(2,pass);
        System.out.println(sql);

        if(ps.execute()) System.out.println("登录成功,欢迎你!");
        else System.out.println("登录失败!");
    }
}

如果输入正确,输出登陆成功,否则输出登录失败。如图:

当我们密码输入错误的时候

由此我们可以总结出 PreparedStatement相对于Statement的优点

  1. 提高了代码的可读性和可维护性
  2. 提高了sql语句执行性能
  3. 提高了安全性
a_zhang999
关注
浅析StatementPreparedStatement区别
weixin_34218890的博客
02-16 726
当我们使用java程序来操作sql server时会使用到StatementPreparedStatement,俩者都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句。那么如何进行一个较好的选择? 首先,我们来看俩者的区别StatementPreparedStatement区别(1) 1、直接使用Statement,驱动程序一般不会对sql语句作...
Statement PreparedStatement 详解
最新发布
yjp1240201821的博客
07-27 1150
本节主要讲解StatementpreparedStatement,从其相关的定义,优缺点区别等等帮助理解。
PreparedStatementStatement
03-22
NULL 博文链接:https://stevenjohn.iteye.com/blog/968877
StatementPreparedStatement之间的区别
01-14
StatementPreparedStatement之间的区别
java中PreparedStatementStatement区别
12-26
java中PreparedStatementStatement区别
JavaWeb拾遗(7)JDBC Statement PreparedStatement CLOB/BLOB大型数据存储
01-19
JDBC JDBC(Java Database Connectivity)可以为多种关系型数据库提供统一的访问操作接口。 JDBC API:提供各种访问操作接口。 Driver:数据库的驱动程序一般由第三方提供: Oracle ojdbc-x.jar MySQL mysql-connector-...
PreparedStatementStatement区别是什么
m0_46552684的博客
06-25 937
综上所述,PreparedStatementStatement在安全性、性能、灵活性可重用性等方面存在显著差异。在选择使用哪个接口时,需要根据具体的应用场景需求进行权衡。PreparedStatementStatement都是Java中用于执行SQL语句的接口,但它们之间存在显著的差异。
Performance Tips for JDBC
波波熊的专栏
12-11 392
翻译:陈先波([email protected]) 阅读原文:http://www.theserverside.com/articles/article.tss?l=JDBCPerformance_PartIII 一、使用Statement而不是PreparedStatement对象 JDBC驱动的最佳化是基于使用的是什么功能. 选择PreparedStatement还是Statement取决于...
tatementPreparedStatement之间的区别
hu_bj的专栏
02-12 443
转自:http://blog.sina.com.cn/s/blog_3e9d2b3501000a52.html 1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement...
PreparedStatementStatement区别详解
weixin_30629977的博客
03-29 174
技术原理 该 PreparedStatement接口继承Statement,并与之在两方面有所不同: PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位...
PreparedStatementStatement 比较
yinjihao2050的博客
08-07 500
1 preparedStatementStatement 效率高。为什么? 因为: PreparedStatement是在执行前先输入sql语句,Statement正好相反,是在执行的时候传入sql语句的。 这样的区别在于,PreparedStatement可以在传入sql后,执行语句前,给参数赋值,避免了因普通的拼接sql字符串语句所带来的安全问题,而且准备sql执行sql是在两个语
你知道 PreparedStatement Statement区别吗?
HU1656的博客
06-27 326
一、连接数据库的步骤 第一种: (1)加载驱动: Class.forName(“com.mysql.jdbc.Driver”); (2)获取连接: Connection connection=DriverManager.getConnection( “jdbc:mysql://localhost:3306/数据库名称?useSSL=false”, “root”, “数据库密码”); (3)创建处理对象: Statement statement=connection.createStatement(); (4
PreparedStatement 相比于 Statement优点
m0_69234258的博客
07-13 766
这种参数化查询不仅可防止 SQL 注入攻击,还可以提高查询的重用性可维护性。3. 更好的性能:由于 PreparedStatement 对象预编译了 SQL 语句,因此在执行相同的 SQL 语句多次时,它可以重用已编译的执行计划,避免了每次执行 SQL 语句时的解析编译过程,从而显著提高了数据库执行的性能。综上所述,PreparedStatement 相比于 Statement 具有更好的性能,更高的安全性,更好的可读性更大的灵活性,因此在开发中推荐使用 PreparedStatement
PreparedStatementStatement的对比?
weixin_44250157的博客
03-02 417
一.概念 Statement陈述对象: 提供在基层已经建立连接的基础上运行SQL语句,实际有三种Statement对象 1.Statement:用于执行不带参数的简单 SQL 语句。 2.PreparedStatement(它从 Statement 继承而来,包含其中的所有方法):于执行带或不带参数的预编译 SQL 语句。 3.CallableStatement(它从 PreparedStatem...
PreparedStatement相较于Statement优点
无名老仙
09-25 1387
在jdbc组件中,尽量使用PreparedStatement而避免使用Statement,原因如下: 1、PreparedStatement可读性更高,维护性更强(Statement需要动态拼接); 2、PreparedStatement在被编译后会被缓存下来,下次调用相同的预编译语句时不需要重新编译,只需传入对应参数就行;而对于Statement来说,及时insert into tb_name ...
PreparedStatement的解释优势,PreparedStatementStatement比较
qq_37020594的博客
10-10 2220
PreparedStatement的解释:   PreparedStatement是java.sql包下的一个接口,用来执行sql语句查询,通过调用conn.prepareStatement(sql)方法可以获得PreparedStatement对象。   从上图可知PreparedStatement继承于Statement,但PreparedStatementStatement有很大不同。 ...
preparedstatementstatement比较
小白有个大牛梦
07-15 159
1: 可以防止sql攻击       statement:sql片段数据拼凑成一个字符串sql语句通过sta.executeXxx(sql) 整体发给数据库                           数据库无法把数据中伪装的sql判断区分出来       preparedstatement: 先通过
StatementPreparedStatement
木易三水良
06-03 521
Statement   StatementStatement是java执行数据库操作的一个重要方法,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。具体步骤: 1.首先导入java.sql.*;这个包。 2.然后加载驱动,创建连接,得到Connection接口的的实现对象,比如对象名叫做conn。 3.然后再用conn对象去创建Statement的实例,方法是: Statement stmt = conn.creatStatement("SQL语句字符串");   Statement
java中Statement PreparedStatement 比较两者区别
05-31
在Java中,StatementPreparedStatement都是用于执行SQL语句的接口,但是它们有以下区别: 1. SQL注入攻击:使用Statement执行SQL语句时,需要将SQL语句拼接成一个完整的字符串,容易受到SQL注入攻击。而使用PreparedStatement时,可以使用占位符来代替SQL语句中的参数,有效避免了SQL注入攻击。 2. 执行效率:使用PreparedStatement执行SQL语句时,数据库会对SQL语句进行预编译,然后将占位符替换成参数,这样可以提高SQL语句的执行效率。而使用Statement执行SQL语句时,每次执行SQL语句都需要将SQL语句进行编译,导致执行效率较低。 3. 可读性可维护性:使用PreparedStatement时,可以将SQL语句参数分开进行设置,使得SQL语句更加清晰,易于阅读维护。而使用Statement时,需要将SQL语句参数拼接成一个完整的字符串,导致SQL语句难以阅读维护。 综上所述,使用PreparedStatement比使用Statement更加安全、可靠、高效易于维护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值