JDBC使用预编译SQL的好处

最新推荐文章于 2025-03-01 14:43:37 发布
原创 最新推荐文章于 2025-03-01 14:43:37 发布 · 491 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SQL #JDBC #编程 #百度 #Web

本文探讨了在数据库编程中使用PreparedStatement对象相较于Statement对象的优势,包括提高执行效率、增强代码可读性和可维护性,以及增加安全性。

在学习数据库编程时,我们都知道在执行SQL命令时,有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。而熟悉JDBC编程的大侠们都会选择使用PreparedStatement对象,主要因为使用预编译对象PreparedStatement时,有以下几个优点:

首先是效率性

 PreparedStatement可以尽可能的提高访问数据库的性能,我们都知道数据库在处理SQL语句时都有一个预编译的过程,而预编译对象就是把一些格式固定的SQL编译后,存放在内存池中即数据库缓冲池,当我们再次执行相同的SQL语句时就不需要预编译的过程了,只需DBMS运行SQL语句。所以当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,特别是的大型的数据库中,它可以有效的也加快了访问数据库的速度。
其次,使用PreparedStatement对象可以大大提高代码的可读性和可维护性

例如我们在向数据库插入数据:

一种是使用Statement对象

   java.sql.Statement   stmt=conn.createStatement();

  stmt.executeUpdate("insert into student (name,id,number,count) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");
  另一种是使用PreparedStatement对象

String  sql ="insert into student values(null,?,?,?)";

java.sql.PreparedStatement pstmt=conn.preparedStatement(sql);

pstmt.setString(1,var1);
pstmt.setString(2,var2);
pstmt.setString(3,var3);
pstmt.setString(4,var4);
pstmt.executeUpdate();

使用占位符?代替

将参数与SQL语句分离出来,这样就可以方便对程序的更改和延续,同样,也可以减少不必要的错误。

最后就是安全性了。
以下转自百度文库:传递给PreparedStatement对象的参数可以被强制进行类型转换,使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。

当处理公共Web站点上的用户传来的数据的时候,安全性的问题就变得极为重要。传递给PreparedStatement的字符串参数会自动被驱动器忽略。最简单的情况下,这就意味着当你的程序试着将字符串“D'Angelo”插入到VARCHAR2中时,该语句将不会识别第一个“,”,从而导致悲惨的失败。几乎很少有必要创建你自己的字符串忽略代码。

在Web环境中,有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序。特别是在公共Web站点上,在没有首先通过PreparedStatement对象处理的情况下,所有的用户输入都不应该传递给SQL语句。此外,在用户有机会修改SQL语句的地方,如HTML的隐藏区域或一个查询字符串上,SQL语句都不应该被显示出来。
在执行SQL命令时,我们有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。无论多少次地使用同一个SQL命令,PreparedStatement都只对它解析和编译一次。当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译。  


 

Csu_Lionel
关注
sql预编译
weixin_52237037的博客
10-18 2967
sql预编译就是说:对于一个sql的执行,首先要进行,而上面这些sql,结构相同,只是参数不同,需要,这样就导致执行效率低。我们可以使用以下语预编译后的sql,执行代码会缓存下来,这样在下次调用的候,直接给占位符传参,执行即可。所以我们对于相同的预编译,我们只需要。可以视为将sql。一次编译、多次运行,省去了解析优化等过程。
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6450
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
JDBC使用PrepareStatedment预编译机制的好处
zhang__1234的博客
08-29 581
PreparedStatementment预编译机制的原理和使用预编译好处
jdbc预编译
grefr的技术博客,博客已迁移至 http://blog.yemou.net
05-23 245
详见:[url]http://blog.yemou.net/article/query/info/tytfjhfascvhzxcytp20[/url] JAVA_JDBC预编译 相关知识点 什么是预编译预编译PreparedStatement是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql,需要将sql发送给DB...
JDBC预编译
热门推荐
苍月
02-28 1万+
什么是预编译 预编译PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL,需要将SQL发送给DBMS,由DBMS首先进行编译后再执行。预编译和Statement不同,在创建PreparedStatement 对象就指定了SQL,该语立即发送给DBMS进行编译。当该编译语被执行
JDBC使用预编译Statement以及它的优点
GatesMa's blog
09-29 1136
JDBC中PreparedStatement与Statement一样是用于执行SQL的,比如增加,删除 1. 使用PreparedStatement 和 Statement一样,PreparedStatement也是用来执行sql的,与创建Statement不同的是,需要根据sql创建PreparedStatement。除此之外,还能够通过设置参数,指定相应的值,而不是Statemen...
JDBC核心技术与预编译SQL实战
最新发布
08-03
本课程《JDBC核心技术与预编译SQL实战》深入探讨了JDBC的核心技术,并着重介绍了预编译SQL使用和优势。 在数据库编程中,SQL(Structured Query Language)语是与数据库交互的重要工具。预编译SQL,又...
sql 预编译
weixin_41563161的博客
11-25 5521
sql 预编译 1. 背景 本文重点讲述MySQL中的预编译并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql,制定执行计划 执行并返回结果 我们把这种普通语称作Immediate Statements。 但是很多情况,我们的一条sql可能会反
JDBC——预编译(PreparedStatemen与Statement)性能比较 及防止sql注入式攻击
yooppa的博客
12-06 2241
写在之前: PreparedStatement和 Statement一样,PreparedStatement也是用来执行sql的 与创建Statement不同的是,需要根据sql创建PreparedStatement 除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接——这样使得使用起来不是很方便 需要进行分别归类 比如查询 和 插入等等这些操作 因为它是根据sql内容来的不是直接拼接进去 以下示例代码具体感受以下: import java.sql.Conne
SQL注入与预编译SQL
qq_1532145264的博客
12-01 601
SQL注入与预编译SQL
SQL注入——预编译
weixin_52463619的博客
03-01 1104
预编译是指在执行 SQL之前,数据库系统先对 SQL进行编译和解析,生成一个执行计划。在执行,只需要将用户输入的参数传递给这个预编译的语,而不是直接将参数拼接到 SQL中。这样可以确保用户输入的内容不会影响 SQL的结构,从而防止 SQL 注入攻击。
Mysql预编译SQL
Donald_Draper
12-05 459
JDBC驱动初始化-Mysql:[url]http://donald-draper.iteye.com/blog/2342010[/url] JDBC连接的获取:[url]http://donald-draper.iteye.com/blog/2342011[/url] Mysql负载均衡连接的获取:[url]http://donald-draper.iteye.com/blog/234208...
[MySQL]——SQL预编译、动态sql
Panci_的博客
10-31 8878
一条sql的执行过程为语法检查与解析->sql优化->编译->执行。原始的sql存在弊端,每条语编译生成不同的SQL,浪费性能和空间。 两种参数占位符的区别 动态SQL使用
MySQL预编译功能简述
Li_Kun的博客
08-11 4114
预编译好处 大家平使用JDBC中的PreparedStatement接口,它有预编译功能。什么是预编译功能呢?它有什么好处呢? 当客户发送一条SQL给服务器后,服务器总是需要校验SQL的语法格式是否正确,然后把SQL编译成可执行的函数,最后才是执行SQL。其中校验语法,和编译所花的间可能比执行SQL花的间还要多。 如果我们需要执行多次insert语,但只是每
SQL预编译SQL注入
weixin_33728708的博客
05-27 2768
再说SQL预编译: 最近用go语言,学习了一下数据库连接的库,这里总结一下SQL预编译相关的知识。貌似网上都是建议使用预编译,我也觉得这种做法靠谱。 先谈SQL注入: SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过让原SQL改变了语义,达到欺骗服务器执行恶意的SQL命令。其主要原因是...
Sql预编译
南陈的博客
07-06 2656
一、什么是sql的编译? 当数据库接收到sql,需要词法和语义的解析,优化sql,制定执行计划。每次编译都比较耗间。 二、如何减少编译? 在实际开发中,对数据库的基本操作就是curd,每次执行sql都有经过编译过程,那么就需要消耗大量的间,因此就有了预编译的过程,预编译可以想象成将sql变成一个函数,在需要的候传参进行即可使用。这样就能达到一次编译,多次运行的效果。 三、预编译的实...
sql预编译
weixin_45694388的博客
12-28 499
一.数据库预编译起源: 数据库接受sql,需要解析和制定执行,中间需要花费一段间. 有候同一语可能会多次执行, 那么就会造成资源的浪费 如何减少编译执行的间 ? 就有了预编译,预编译是将这类语提前用占位符替代,一次编译,多次执行. 预编译后的执行代码会被缓存下来,下次调用就不需要编译了,省去解析优化 如何实现 ? 通过PreparedStatement和占位符来实现的。 二.预编译的作用 1.优化sql的执行,提升性能 2.防止sql注入: 使用预编译,其后注入的参数将不会再用sql编译
jdbc预编译SQL
05-30
<think>嗯,用户问的是关于JDBC预编译SQL的问题。我需要先回忆一下JDBC的相关知识。预编译SQL主要是通过PreparedStatement来实现的,和普通的Statement有什么不同呢?首先,预编译可以提高性能,因为SQL数据库中被预先编译,多次执行不需要重复编译。然后,防止SQL注入攻击,因为参数化处理,用户输入不会被当作SQL的一部分执行。那具体怎么使用呢?应该先创建PreparedStatement对象,使用占位符?来代替参数,然后通过setXXX方法设置参数。比如,执行插入操作,用conn.prepareStatement("INSERTINTO users(name, age) VALUES(?,?)");然后设置参数,执行executeUpdate。 然后要解释为什么预编译能防止SQL注入,比如当用户输入中有引号或者特殊字符预编译会将这些作为参数处理,而不是拼接到SQL中,避免了恶意代码的执行。 可能用户还关心预编译的优缺点,或者和Statement的区别。需要提到性能优势,安全性,以及可读性等方面。另外,可能需要注意预编译SQL在某些情况下是否可以被数据库重用,比如是否缓存PreparedStatement。然后按照要求,给出代码示例,展示如何正确使用PreparedStatement,包括连接数据库、设置参数、执行查询等步骤。同,对比不安全的Statement方式,说明两者的区别。最后,相关问题要围绕JDBC预编译展开,比如原理、防止注入的方式、优缺点、与存储过程的比较,以及参数设置方法。这些问题可以帮助用户深入理解预编译的重要性及使用场景。</think>JDBC预编译SQL的实现方式是通过`PreparedStatement`接口完成的,以下是实现步骤和原理: ```java // 1. 创建预编译 String sql = "SELECT * FROM users WHERE email = ? AND status = ?"; try (Connection conn = DriverManager.getConnection(url, user, password); PreparedStatement pstmt = conn.prepareStatement(sql)) { // 2. 设置参数(索引从1开始) pstmt.setString(1, "user@example.com"); pstmt.setInt(2, 1); // 3. 执行查询 try (ResultSet rs = pstmt.executeQuery()) { while (rs.next()) { // 处理结果集 } } } ``` **为什么需要预编译SQL:** 1. **防止SQL注入**:参数值通过类型安全的方式绑定,不会被解释为SQL语法 2. **性能优化**:数据库会缓存预编译的查询计划,重复执行无需重新解析SQL 3. **类型安全**:自动处理数据类型转换(如Date转SQL DATE) 4. **可读性**:使用占位符比字符串拼接更清晰 **典型错误示例(不安全的方式):** ```java // 危险!容易导致SQL注入 String input = "'; DROP TABLE users;--"; String badSql = "SELECT * FROM users WHERE name = '" + input + "'"; Statement stmt = conn.createStatement(); stmt.executeQuery(badSql); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值