JDBC-预编译原理

最新推荐文章于 2022-03-24 16:48:59 发布
最新推荐文章于 2022-03-24 16:48:59 发布
阅读量1.5k 收藏 1
点赞数 2
CC 4.0 BY-SA版权
分类专栏: JavaWeb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hunter_wyh/article/details/49480777

预处理的原理


Ø  服务器的工作:

1.     校验sql语句的语法!

2.    编译:一个与函数相似的东西!

3.      执行:调用函数


Ø  PreparedStatement:

1.      前提:连接的数据库必须支持预处理!几乎没有不支持的!

2.      每个pstmt都与一个sql模板绑定在一起,先把sql模板给数据库,数据库先进行校验,再进行编译。执行时只是把参数传递过去而已!

3.      若二次执行时,就不用再次校验语法,也不用再次编译!直接执行!

 

《网络安全自学教程》- 预编译防止SQL注入的原理分析
wangyuxiang946的博客
08-16 1万+
SQL执行过程,预编译原理预编译如何防止SQL注入?预编译的局限性
MySql优化-预编译和批处理(详解举例)
Pinker_Q
09-25 2267
文章目录预编译预编译的好处MySQL界面执行预编译JDBC驱动执行预编译使用Statement执行预编译(了解)使用PreparedStatement执行预编译(重点掌握)未开启预编译打开预编译功能打开缓存功能注意批处理Statement批处理(了解)PreparedStatement批处理打开批处理 预编译 预编译的好处 PreparedStatement接口有预编译功能。什么是预编译功能呢?它有什么好处呢? 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQ
JDBC概述、详解、预编译机制、批处理机制及JDBC连接池
张艳霞
09-16 463
一、JDBC概述 数据库驱动 所谓数据库驱动就是数据库厂商提供连接数据库的jar包。 开发人员只需要导入数据库驱动包就可以通过该驱动包提供的api来接并操作数据库。 不同的数据库的驱动包互不兼容,需要操作什么数据库就要导入该数据库的驱动包。 JDBC 由于不同的数据库厂商提供的数据库驱动各不相同,在使用不同数据库时需要学习对应数据库驱动的api,对于开发人员来说学习成本十分的高。 于是sun提供了JDBC的规范,本质上一大堆的接口,要求不同的数据库厂商提供的驱动都实现这套接口,这样以来开发人员只需要学会J
JDBC预编译语句
热门推荐
苍月
02-28 1万+
什么是预编译语句 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编译语句被执行时
jdbc预编译
grefr的技术博客,博客已迁移至 http://blog.yemou.net
05-23 244
详见:[url]http://blog.yemou.net/article/query/info/tytfjhfascvhzxcytp20[/url] JAVA_JDBC预编译 相关知识点 什么是预编译语句? 预编译语句PreparedStatement是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql语句时,需要将sql语句发送给DB...
JDBC连接数据库的原理预编译详解
帅气的鎏氓兔
09-06 2818
一、JDBC基础知识                 JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成。JDBC为数据库开发人员提供了一个标准的API,据此可以构建更高级的工具和接口,使数据库开发人员能够用纯 Java API 编写数据库
JDBC预编译
S34497841的博客
05-06 3416
什么是预编译语句 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编译语句被执行时
MySql-Connector-jdbc-jar包
10-17
`Statement`用于执行静态SQL语句,而`PreparedStatement`用于执行预编译的SQL语句,更安全且性能更好。 4. **执行SQL**:使用`Statement`或`PreparedStatement`的`executeQuery()`或`executeUpdate()`方法执行SQL...
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6439
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
JDBC中的——PreparedStatement 预编译原理
孤影渡寒江的博客
06-20 1万+
JDBC中的——PreparedStatement 预编译原理 一、prepareStatement语句有三大好处:1、提高了代码的可读性和可维护性 虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:Statement.executeUpdate("INSERT INTO tb
JDBC使用预编译
Albdon的博客
03-24 1339
import java.sql.*; 注册驱动(不同的数据库驱动不同) Class.forName("com.ibm.db2.jcc.DB2Driver"); 创建连接对象 Connection conn = DriverManager.getConnection(url,username,password); 创建预编译命令对象 PreparedStatement pstat = conn.prepareStatement(sql); pstat.setInt(1,1); //给第1个
3.JDBC预编译
pony的博客
02-18 540
由于在书写sql语句时拼接时容易出错 举个栗子: String sql = "insert into stu values("+stu.getId()+",'"+stu.getName()+"',"+stu.getAge()+")"; 当用预编译语句时直接写成这样: String sql = "insert into stu values(?,?,?)"; 基本知识: 预编译语句通过Prepa...
JAVA中JDBC预编译原理
CaptainJack1990
11-27 8965
什么是预编译语句?       预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编
jdbc、PreparedStatement预编译原理
qq_43369986的博客
05-18 1043
PreparedStatement预编译原理 https://www.zybuluo.com/stefanlu/note/254899 前提知识 MySQL预编译 只使用PreparedStatement无法使用预编译功能,因为mysql默认不开启预编译,需要连接db时添加useServerPrepStmts=true参数,例如 jdbc:mysql://127.0.0.1:3306/user?useServerPrepStmts=true 注意:useServerPrepStmts=true参数只对此次连
Javaweb学习笔记——(十七)——————JDBC原理、四大核心类、四大参数、预编译、Dao模式、批处理、大数据、时间类型的转换
第二颗大白菜
07-04 3606
JDBC入门 *导入jar包:驱动 *加载驱动类:Class.forName("类名"); *给出url、username、password,其中url背下来 *使用DriverManager类来得到Connection对象 1.什么是JDBC jdbc(Java DataBase Connectivity)就是java数据库连接,说白了就是用java语言来操作数据库。原来我们操作数据库是在控制...
阿里Java学习路线:阶段 2:数据库开发-JDBC数据库开发入门:课时8:预处理的原理
Kenny C
12-29 131
PreparedStatement 预处理的原理 —服务器的工作: ——校验sql语句的语法。 ——编译:一个与函数相似的东西 ——执行:调用函数 —PreparedStatement: ——前提:连接的数据库必须支持预处理!几乎没有不支持的! ——每个pstmt都与一个sql模板绑定在一起,先把sql模板给数据库,数据库先进行校验,再进行编译。执行时只是把参数传递过去而已! ——若二次执行时,就不用再次校验语法,也不用再次编译!直接执行! String sql = "select * from t_u
JDBC:预编译
weixin_45215505的博客
03-24 161
对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配 ...
JDBC预编译(PreparedStatement )
甜到你了么的博客
04-03 1560
PreparedStatement 的优点 在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement. 虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次 .Prepa...
jdbc预编译SQL
最新发布
05-30
<think>嗯,用户问的是关于JDBC预编译SQL的问题。我需要先回忆一下JDBC的相关知识。预编译SQL主要是通过PreparedStatement来实现的,和普通的Statement有什么不同呢?首先,预编译可以提高性能,因为SQL语句在数据库中被预先编译,多次执行时不需要重复编译。然后,防止SQL注入攻击,因为参数化处理,用户输入不会被当作SQL的一部分执行。那具体怎么使用呢?应该先创建PreparedStatement对象,使用占位符?来代替参数,然后通过setXXX方法设置参数。比如,执行插入操作,用conn.prepareStatement("INSERTINTO users(name, age) VALUES(?,?)");然后设置参数,执行executeUpdate。 然后要解释为什么预编译能防止SQL注入,比如当用户输入中有引号或者特殊字符时,预编译会将这些作为参数处理,而不是拼接到SQL语句中,避免了恶意代码的执行。 可能用户还关心预编译的优缺点,或者和Statement的区别。需要提到性能优势,安全性,以及可读性等方面。另外,可能需要注意预编译的SQL在某些情况下是否可以被数据库重用,比如是否缓存PreparedStatement。然后按照要求,给出代码示例,展示如何正确使用PreparedStatement,包括连接数据库、设置参数、执行查询等步骤。同时,对比不安全的Statement方式,说明两者的区别。最后,相关问题要围绕JDBC预编译展开,比如原理、防止注入的方式、优缺点、与存储过程的比较,以及参数设置方法。这些问题可以帮助用户深入理解预编译的重要性及使用场景。</think>JDBC预编译SQL的实现方式是通过`PreparedStatement`接口完成的,以下是实现步骤和原理: ```java // 1. 创建预编译语句 String sql = "SELECT * FROM users WHERE email = ? AND status = ?"; try (Connection conn = DriverManager.getConnection(url, user, password); PreparedStatement pstmt = conn.prepareStatement(sql)) { // 2. 设置参数(索引从1开始) pstmt.setString(1, "user@example.com"); pstmt.setInt(2, 1); // 3. 执行查询 try (ResultSet rs = pstmt.executeQuery()) { while (rs.next()) { // 处理结果集 } } } ``` **为什么需要预编译SQL:** 1. **防止SQL注入**:参数值通过类型安全的方式绑定,不会被解释为SQL语法 2. **性能优化**:数据库会缓存预编译的查询计划,重复执行时无需重新解析SQL 3. **类型安全**:自动处理数据类型转换(如Date转SQL DATE) 4. **可读性**:使用占位符比字符串拼接更清晰 **典型错误示例(不安全的方式):** ```java // 危险!容易导致SQL注入 String input = "'; DROP TABLE users;--"; String badSql = "SELECT * FROM users WHERE name = '" + input + "'"; Statement stmt = conn.createStatement(); stmt.executeQuery(badSql); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值