Statement 和 PreparedStatement的区别

最新推荐文章于 2021-08-11 15:14:04 发布
最新推荐文章于 2021-08-11 15:14:04 发布
阅读量624 收藏
点赞数
分类专栏: 开发基础 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Lyuweigh/article/details/119060689
版权
本文探讨了Statement和PreparedStatement在Java中的区别。Statement适合执行静态SQL,而PreparedStatement不仅能够防止SQL注入,还支持预编译和参数类型设置,提高代码可维护性和效率。通过设置参数类型,PreparedStatement可以进行更严格的输入验证,降低安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

首先看一下他们倆的创建方式

{
    	Connection connection = InitJdbcConnection.getConnection();
        try {
            Statement statement = connection.createStatement();
            PreparedStatement preparedStatement = connection.prepareStatement("xxx");
            
        } catch (SQLException e) {
            e.printStackTrace();
        }
 
}
  • Statement 是通过createXX创建出来的, 动词+名词 Connection对象已经通过函数名告诉我们, Statement是有独立性的
    • 对于一个Connection来说,一个Statement对象可以执行多条不同的SQL

  • PreparedStatement 是直接点出来的, 其没有方法动词, 不知道的还能以为他是Connection的成员变量;但实际上他也是一个函数;
    • Prepared 的直接意思就是 已经准备好的, 是形容词
    • 对于一个Connection来说, PreparedStatement创建出来只能执行传递的一条SQL


再看一下 Statement 对象的函数

Statement 对象的函数都要传一下SQL进去, 他就是个SQL执行器,
如图,statement对象是通过数据库创建出来后, 就是一个sql执行器,一个statement可以执行多个SQL, 不支持参数预定义,可以用于执行固定的sql
image.png
为什么说 Statement 不能防止SQL注入? 比如我们要调用execute函数, 要给他传一个sql字符串进去,那么这整个字符串都一个可修改的变量, 假设这个字符串是业务动态拼接传递进来的, 想搞坏事的人给接口传了写奇奇怪怪的参数


SQL注入的例子

就是个例子别当真,我也没遇到过注入问题,都是理论,明白注入的道理就好

把main函数当成Web Ajax的入参解析;
image.png
SQL注入者成功拿到了目的数据, 顺手把你表删了,一点都不注重可持续发展;
image.png
而preparedStatement 在创建时就必须要为其赋值一个sql, 可以为其设置预定义值,所以preparedStatement一个对象只能服务一条sql,
你想想SQL的模板都定义好了,就是靠程序传些参数进去, 具体看下面描述;



为什么说PreparedStatement有防止SQL注入的功能

首先要理解什么是SQL注入, SQL注入的方式具体可以百度; 我这边白话一点的说, SQL注入就是给SQL拼字符串参数时加一些固定的SQL语法,比如注释--,比如一些奇奇怪怪的SQL函数,比如关键字, 但是可以保证的是SQL注入能修改的点只有参数, 而PreparedStatement支持预定义参数, 这时候就可以给参数变量做校验,比如必须是Int类型,不是就报错, PreparedStatement对象设置参数是可以选择参数类型,而SQL注入一般都是字符类型;**
image.png
**如果非要抓着SQL注入这一点,**PreparedStatement的确比Statement好的,但你说Statement就不能我先校验一下SQL吗, 当然也可以,仁者见仁;



PreparedStatement还有什么好处吗?

就非要用这些核心的对象支持操作SQL吗1. 设计角度 :从逻辑上讲,Java的Connection对象对应 代码和DB之间的一条连接, 数据库执行一个链接执行SQL那是串行的, 并行只会发生在多个Connection之间; 你看Statement对象,假如就有人喜欢 create多个Statement, 然后Java的Thread一起跑呢, 其实这样也没关系, 因为Statement正在执行 execute (新增,编辑)操作的时候都给加了synchronized关键字,但就是怪怪的, 就好像哥几个去洗澡, 交钱的时候说可以一起玩, 到房间了又说只能一个个来; 怪哉

  1. 开发角度: 从基础的抽象原则, OO思想, 代码可维护性角度上来讲, 在代码里写字符串SQL已经很不人道了, 难道连不同类型的参数都要搞成String传进去吗, 非要这样为什么不试试存储过程呢? 效率比Java高,能省大量连接数, 连数据处理都可以让数据库自己去做; 所以PreparedStatement有个好处就是提供了参数类型API

  2. 支持DB的预编译

具体看这篇, 人家已经写的很好了, 这里不复述 https://www.cnblogs.com/micrari/p/7112781.html





总结

静态SQL可用Statement
复杂的动态的用PreparedStatement肯定不会错

jdbc--StatementPreparedStatment以及事务
yun_ld的博客
06-29 2408
1.什么是JDBC   JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类接口组成。JDBC提供了一种基准,据此可以构建更高级的工具接口,使数据库开发人员能够编写数据库应用程序。 2.数据库驱动   我们安装好数据库之后,我们的应用程序也是不能直...
浅谈 PreparedStatement Statement区别!!!!!
qq_27040173的博客
04-23 1462
package com.wuye.sql; import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.Statement; /*   方法一:预编译的      *
PreparedStatementStatement区别
weixin_34097242的博客
07-27 84
在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement 一.代码的可读性可维护性. 虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:   stmt.exe...
Preparedstatementstatement 区别
jackl
02-12 783
用Prepared statement进行开发。Prepared statement是预编译的,而statement不是,在每次执行sql语句的增删改时,如果是一条数据两者没差距,但如果数据量大于1,那么每次执行sql语句statement都要重新编译一次,而Prepared statement不用,Prepared statement的运行效率大于statement;从代码的可维护性可读性来说
preparedStatementStatement
DB5155的专栏
04-26 354
<br />在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement 一.代码的可读性可维护性. 虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次: stmt.executeUpdate("insert into tb_name (col1,col2,col2,c
StatementPreparedStatement之间的区别
01-14
StatementPreparedStatement之间的区别 StatementPreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
写出jdbc中StatementPreparedStatement区别?
06-01
在JDBC中,StatementPreparedStatement都是执行SQL语句的接口,但是它们之间有以下几个区别: 1. 预编译:PreparedStatement在执行前会先进行编译,这意味着它可以重复执行,而不需要每次都编译一遍,因此可以...
详解Java的JDBC中StatementPreparedStatement对象
09-03
Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是StatementPreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性效率上有所不同。 Statement接口是最基本的SQL执行方式...
Statement PreparedStatement区别
最新发布
06-02
StatementPreparedStatement都是Java中用来执行SQL语句的接口,它们的主要区别如下: 1. 预编译:PreparedStatement在执行前会先进行预编译,而Statement则是在执行时编译。预编译可以提高执行效率,尤其是需要...
statementpreparedstatement区别
03-16
statementpreparedstatement都是Java中操作数据库的接口,但是它们有一些区别: 1. statement是一种简单的SQL语句执行接口,它只能执行静态SQL语句,不能执行动态SQL语句。而preparedstatement可以执行静态SQL...
Statement PreparedStatement之间的关系区别
haqiu8833的博客
10-24 790
Statement PreparedStatement之间的关系区别: 关系:PreparedStatement继承自Statement,都是接口 区别PreparedStatement可以使用占位符,是预编译的,动态sql操作, 批处理PreparedStatementStatement效率高,Statement适用于执行多条不同的sql...
PreparedStatementStatement区别
m0_60418397的博客
08-11 6717
PreparedStatement Statement区别: 1.PreparedStatement在使用时只需要编译一次,就可以运行多次,Statement每运行一次就编译一次,所以PreparedStatement的效率更高 2.PreparedStatement需要的sql语句为用?(占位符)来替换值,Statement所需要的sql语句为字符串拼接 3.PreparedStatement解决了sql注入的问题,Statement没有解决,因为PreparedStat.
什么是绑定变量,有什么优缺点?
热门推荐
咖啡牛奶和糖的博客
11-11 1万+
提到绑定变量,首先肯定想到硬解析软解析。绑定变量时解决硬解析的利器。 硬解析:就是一条没有执行过的sql。数据库首先对他进行语法分析解析,过后,根据分析的信息生成最好的执行计划,然后执行。 软解析:就是已经存在了一样的sql语句了 绑定变量实质就是变量。类似于我们是用过的替代变量(占位符)。就是在sql语句中使用变量,通过改变变量的值来得到不同的结果。 sql语句是分为动态部分
PreparedStatement statement区别
xxwsc的博客
08-13 290
欢迎使用Markdown编辑器写博客本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown扩展Markdown简洁的语法 代码块高亮 图片链接图片上传 LaTex数学公式 UML序列图流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl
Statement PreparedStatement区别
wxinpeng的专栏
05-16 137
1. Statement用于处理静态 SQL 语句, PreparedStatement用于处理动态SQL语句,在执行前会有一个预编译的过程,它是有时间开销的,虽然相对于数据库的操作该时间开销可以忽略不计。但是后者的预编译结果会被缓存,而不论动态值发生什么样的变化。   2. PreparedStatement继承于Statement,通常的JDBC实现中PreparedStatemen...
preparedStatementStatement区别
qq_38014418的博客
10-18 262
–之前在面试的时候遇到一道面试题:preparedStatementStatement区别,特此记录 相同点:都是用来创建一个对象然后使用这个对象去调用executeQuery()方法以便执行sql语句。 不同点:1、格式不一样。preparedStatement提高代码可读性 Statement创建对象并执行sql语句 `String sql = “select * from users ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值