JDBC中PreparedStatement相较于Statement的优点

最新推荐文章于 2023-07-13 15:20:48 发布
最新推荐文章于 2023-07-13 15:20:48 发布
阅读量359 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: JDBC
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41998938/article/details/89597691
本文详细阐述了PreparedStatement相较于Statement的优势,包括提高代码可读性与维护性、预编译机制提升性能及有效防止SQL注入攻击。

之前执行sql语句都是用Statement去执行的,但是学习了PreparedStatement之后发现PreparedStatement更好用,下面就来说一下PreparedStatement的优点。

优点1:
Statement需要进行字符串拼接,可读性和维护性比较差

String sql = “insert into hero values(null,”+"‘提莫’"+","+313.0f+","+50+")";

代码如下:

package jdbc;

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.SQLException;
import java.sql.Statement;

public class work4 {

	public static void main(String[] args) {
		Connection c = null;
		Statement s = null;
		try {
			Class.forName("com.mysql.jdbc.Driver");
			c = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/how2java?characterEncoding=UTF-8","root" ,"admin");
			String sql = "insert into hero values(null," + "'提莫'" + "," + 313.0f + "," + 50 + ")";//插入信息
			s = c.createStatement();
			s.execute(sql);
			//先释放Statement对象
			s.close();
			//再释放Connection对象
			c.close();
		}catch(ClassNotFoundException e) {
			e.printStackTrace();
		}catch (SQLException e) {
			e.printStackTrace();
		}
	}
}

PreparedStatement 使用参数设置,可读性好,不易犯错

String sql = “insert into hero values(null,?,?,?)”;

代码如下:

package jdbc4;
import java.sql.*;
public class testJDBC {

	public static void main(String[] args) {
		Connection c = null;
		PreparedStatement ps = null;
		ResultSet r = null;
		try {
			Class.forName("com.mysql.jdbc.Driver");
			c = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/how2java?characterEncoding=UTF-8","root","admin");
			String sql = "insert into hero values (null,?,?,?)";
			ps = c.prepareStatement(sql);
			ps.setString(1,"aa");
			ps.setFloat(2, (float) 35.4);
			ps.setInt(3,55);
			ps.execute();
		}catch(ClassNotFoundException e) {
			e.printStackTrace();
		} catch (SQLException e) {
			e.printStackTrace();
		}finally {
			if(r != null) {
				try {
					r.close();
				}catch(Exception e) {
					e.printStackTrace();
				}
				r = null;
			}
			
			if(ps != null) {
				try {
					ps.close();
				}catch(Exception e) {
					e.printStackTrace();
				}
				ps = null;
			}
			
			if(c != null) {
				try {
					c.close();
				}catch(Exception e) {
					e.printStackTrace();
				}
				c = null;
			}
		}
	}

}

总结:
使用Statement进行字符串拼接时显得非常的繁琐,会有很多的双引号和单引号的配对,如果缺少一个,程序就会出错。而且查错十分艰难。(之前就被这种字符串拼接搞崩溃了…)
这时PreparedStatement就显得很清晰了,把要插入的元素先用?代替,之后在不同的位置一个一个使用set语句就可以了,十分方便清晰。

优点2:
PreparedStatement有预编译机制,性能比Statement更快
代码如下:

package jdbc;
  
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import java.sql.Statement;
  
public class TestJDBC {
    public static void main(String[] args) {
  
        try {
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
  
        String sql = "insert into hero values(null,?,?,?)";
        try (Connection c = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/how2java?characterEncoding=UTF-8","root", "admin");
                Statement s = c.createStatement();
                PreparedStatement ps = c.prepareStatement(sql);
            ) {
            // Statement执行10次,需要10次把SQL语句传输到数据库端
            // 数据库要对每一次来的SQL语句进行编译处理
            for (int i = 0; i < 10; i++) {
                String sql0 = "insert into hero values(null," + "'提莫'" + ","
                        + 313.0f + "," + 50 + ")";
                s.execute(sql0);
            }
            s.close();
  
            // PreparedStatement 执行10次,只需要1次把SQL语句传输到数据库端
            // 数据库对带?的SQL进行预编译
  
            // 每次执行,只需要传输参数到数据库端
            // 1. 网络传输量比Statement更小
            // 2. 数据库不需要再进行编译,响应更快
            for (int i = 0; i < 10; i++) {
                ps.setString(1, "提莫");
                ps.setFloat(2, 313.0f);
                ps.setInt(3, 50);
                ps.execute();
            }
 
        } catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
  
    }
}

总结:
如果需要插入10万条语句到数据库,使用Statement执行sql语句需要一条一条被数据库编译,这肯定会引起卡顿。但是PreparedStatement就不一样了,数据库只要对其刚开始的那条sql语句进行预编译,之后直接插入就可以了。总的来说PreparedStatement更加快。

优点3:
PreparedStatement可以防止SQL注入式攻击

代码如下:

package jdbc;
  
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
  
public class TestJDBC {
    public static void main(String[] args) {
  
        try {
            Class.forName("com.mysql.jdbc.Driver");
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
  
        String sql = "select * from hero where name = ?";
        try (Connection c = DriverManager.getConnection("jdbc:mysql://127.0.0.1:3306/how2java?characterEncoding=UTF-8","root", "admin");
                Statement s = c.createStatement();
            PreparedStatement ps = c.prepareStatement(sql);
        ) {
            // 假设name是用户提交来的数据
            String name = "'盖伦' OR 1=1";
            String sql0 = "select * from hero where name = " + name;
            // 拼接出来的SQL语句就是
            // select * from hero where name = '盖伦' OR 1=1
            // 因为有OR 1=1,所以恒成立
            // 那么就会把所有的英雄都查出来,而不只是盖伦
            // 如果Hero表里的数据是海量的,比如几百万条,把这个表里的数据全部查出来
            // 会让数据库负载变高,CPU100%,内存消耗光,响应变得极其缓慢
            System.out.println(sql0);
  
            ResultSet rs0 = s.executeQuery(sql0);
            while (rs0.next()) {
                String heroName = rs0.getString("name");
                System.out.println(heroName);
            }
  
            s.execute(sql0);
  
            // 使用预编译Statement就可以杜绝SQL注入
  
            ps.setString(1, name);
  
            ResultSet rs = ps.executeQuery();
            // 查不出数据出来
            while (rs.next()) {
                String heroName = rs.getString("name");
                System.out.println(heroName);
            }
 
        } catch (SQLException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
  
    }
}
JDBCStatementPreparedStatement的择弃
分享,卓越
07-20 1516
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 StatementPreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatement
JDBC中的PreparedStatement相比Statement的好处有哪些?
afa的专栏
09-19 548
1、相对比较安全,可以防止sql注入 2、有预编译功能,相同操作批量数据效率较高 PreparedStatement 是预编译 ,使用Statement时 sql 中要进行很多的单引号拼接字符串,首先是容易出错也比较麻烦,还有就是存在sql 注入问题这是从安全方面说的。 PreparedStatement 传参数时候用 了占位符 “?”很好的解决了以上Statement的问题。我所体会...
JDBC 中的PreparedStatement 相比Statement 的好处?
dienuoniao8735的博客
02-14 249
JDBC 中的PreparedStatement 相比Statement 的好处? 答:PreparedStatement 经过预编译,性能比Statement更好,而且可以防止sql注入。 转载于:https://www.cnblogs.com/TravisGrady/p/10381179.html...
jdbc中的preparedStatement相比statement的好处
weixin_45381461的博客
03-05 657
PreparedStatement是预编译的,比Statement速度快 PreparedStatement代码的可读性和可维护性更高(PreparedStatement单独设置sql) PreparedStatement可以防止sql注入,所以安全性更高。 ...
JDBC之预编译PreparedStatementStatement优点
qq971473597的博客
03-11 255
优点1:可读性和维护性更好 Statement的插入语句: String sql = "INSERT INTO teacher VALUES ('" + username + "','"+password+"','" + name +"')";; PreparedStatement的插入语句: String sql = "insert into teacher values(?,?,...
JDBC中的PreparedStatement相比Statement的好处
Java
01-25 289
答:一个sql命令发给服务器去执行的步骤为:语法检查,语义分析,编译成内部指令,缓存指令,执行指令等过程。 select * from student where id =3----缓存--àxxxxx二进制命令 select * from student where id =3----直接取-àxxxxx二进制命令 select * from student where id =4--- -à会怎么干? 如果当初是select * from student where id =?--- -à又会怎
使用 preparedstatement 的好处
KimSoft's Blog
05-23 1975
1、防止 SQL 注入攻击2、预编译,处理速度加快3、存储多行文本时无需转码,有效利用数据库空间4、代码可读性,可维护性比 SQL要好。
相对于StatementPreparedStatement优点是什么?
weixin_57413199的博客
10-09 1589
1、PreparedStatement有助于防止SQL注入攻击,因它会自动对特殊字符转义; 2、PreparedStatement可以用来进行动态查询; 3、PreparedStatement执行更快。 4、使用PreparedStatement的setter方法更容易写出面向对象的代码,而Statement的话,我们得拼接字符串来生成查询语句,如果参数过多得情况下,字符串拼接容易出错。 ...
PreparedStatement 相比Statement优点
m0_69234258的博客
07-13 767
这种参数化查询不仅可防止 SQL 注入攻击,还可以提高查询的重用性和可维护性。3. 更好的性能:由于 PreparedStatement 对象预编译了 SQL 语句,因此在执行相同的 SQL 语句多次时,它可以重用已编译的执行计划,避免了每次执行 SQL 语句时的解析和编译过程,从而显著提高了数据库执行的性能。综上所述,PreparedStatement 相比Statement 具有更好的性能,更高的安全性,更好的可读性和更大的灵活性,因此在开发中推荐使用 PreparedStatement
PreparedStatementStatement的对比
weixin_40161708的博客
12-28 337
PreparesStatementStatement优势优势1:代码可读性/维护性更高。优势2:PreparedStatement的执行性能更高。 PreparedStatement是预编译语句对象,怎么理解。 优势3:安全性更高,防止SQL注入问题。 1.安全性检查 2.SQL语法分析 3.语法编译:编译成二进制 4.选择并执行一个计划 在有
PreparedStatement优势
想吃一口西多
05-02 245
PreparedStatementStatement都可以表示语句对象PreparedStatement相对于Statement优势:1)拼接sql上,操作更简单2)性能更加高效,但是要取决于数据库服务器是否支持    mysql:不支持         Oracle:支持3)安全性更高,防止SQL注入...
PreparedStatementStatement性能详细对比
黑子的程序员生涯
01-22 760
我对PreparedStatementStatement的性能测试了一下:  测试代码如下: java 代码   Connection con = getOraConnection();   String sql = "select id,name from test where id=";   String tempSql;   int count = 1...
PreparedStatementStatement的区别和效率
Eric_splendid的博客
01-22 2986
同样也是在一次面试中问到的,当时回答说PreparedStatementStatement效率高; 其实这个回答是错误的!掌握的还是不够! 一、PreparedStatement相比Statement,有三个优点:一)代码的可读性和可维护性。从代码来看,用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说,都比
PreparedStatementStatement的区别
westonduo的专栏
07-28 588
在drp视频中,老师在数据库执行sql语句的时候多使用的是PreparedStatment,但是也提到了Statement。在视频中提到了一些区别,但是觉得不是很详细。   视频中提到PreparedStatement优点包括两个:    1)会尽可能的提高性能    2)提高安全性(防止SQL Injeciton)   如争光说的二者相差一个单词Prepared,pre
PreparedStatement的使用好处
weixin_52714188的博客
07-09 1632
数据库连接被用于向数据库服务器发送命令和SQL语句,在连接建立后,需要对数据库进行访问,执行sql语句在java.sql包中有3个接口分别定义了对数据库的调用的不同方式:StatementPreparedStatement,CallableStatemen。 PreparedStatement接口是Statement的子接口,它表示一条预编译过的SQL语句,有如下好处: 1代码的可读性和可维护性 2 PreparedStatement能提高性能:PreparedStatement执行sql后为预编译
相对于StatementPreparedStatement优点
YKYZSYA的博客
08-01 286
PreparedStatement有助于防止SQL注入,因为它会自动对特殊字符转义。 PreparedStatement可以用来进行动态查询。 PreparedStatement执行更快。尤其当你重用它或者使用它的拼量查询接口执行多条语句时。 使用PreparedStatement的setter方法更容易写出面向对象的代码,而Statement的话,我们得拼接字符串来生成查询语句。 如果参数太多了,字符串拼接看起来会不美观并且容易出错。 ...
PreparedStatement真的比Statement快吗?
fengpeng120的专栏
06-25 768
关键字: 企业应用   jdbc     从开始写java程序就一直被灌输着一种思想,如果使用jdbc一定要使用PreparedStatement,而不要使用Statement对象。 其中的原因有好多,比如可以防止SQL注入攻击,防止数据库缓冲池溢出,代码的可读性,可维护性。这些都很正确。...
通过jdbc使用PreparedStatement,提升性能,防止sql注入
weixin_33827731的博客
12-20 178
为什么要使用PreparedStatement? 一、通过PreparedStatement提升性能      Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。Statement每执行一次都要对传入的SQL语句编译一次,效率较差。     某些情况下,SQL语句只是其中的参数有所不同,其余子句完全相同,适用于PreparedStatement。PreparedStat...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值