Difference between Statement and preparedStatement

最新推荐文章于 2022-03-21 10:00:50 发布
原创 最新推荐文章于 2022-03-21 10:00:50 发布 · 731 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#database #variables #performance #training #query #input

本文阐述了PreparedStatement在数据库操作中的优势,包括提高性能、防止SQL注入和优化数据库编译。通过预编译SQL查询,数据库服务器可以缓存执行计划,从而加快查询速度,并提供一种有效的方法来保护应用程序免受SQL注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

The prepared statement concept is not specific to Java, it is a database concept. Statement precompiling means: when you execute a SQL query, database server will prepare a execution plan before executing the actual query, this execution plan will be cached at database server for further execution.

The advantages of Prepared Statements are:

1. As the execution plan get cached, performance will be better.
2. It is a good way to code against SQL Injection as escapes the input values.
3. When it comes to a Statement with no unbound variables, the database is free to optimize to its full extent. The individual query will be faster, but the down side is that you need to do the database compilation all the time, and this is worse than the benefit of the faster query.

Other than training purpose it is better to use PreparedStatement to get full benefits and close all loopholes.

J2EE 应用设计模式推荐(摘抄自Expert One-on-One J2EE Design and Development)
xingshen100的专栏
08-13 1499
OO Design Recommendations for J2EE Applications It's possible to design a J2EE application so badly that, even if it contains beautifully written Java code at an individual object level, it will stil...
datax 定时执行多个job_分布式任务调度平台XXL-JOB使用详解
weixin_39652154的博客
11-23 795
基本介绍项目开发中,常常以下场景需要分布式任务调度:同一服务多个实例的任务存在互斥时,需要统一协调定时任务的执行需要支持高可用、监控运维、故障告警需要统一管理和追踪各个服务节点定时任务的运行情况,以及任务属性信息,例如任务所属服务、所属责任人因此,XXL-JOB应运而生:XXL-JOB是一个开源的轻量级分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展、开箱即用,其中“XXL”...
PrepareStatementStatement的区别
白开水
03-21 3360
1.prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率,不用一直更改SQL语句,只需要修改变量就行了,还可以有效的防止SQL注入攻击。 2.使用 Statement 对象。在对数据库只执行一次性存取 PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句,相关数据库都要执行sql语句的编译, preparedstatement是预编译得, prepare
Statement和PrepareStatement的区别详解
shang_bo_liang的博客
05-07 829
1.PreparedStatement继承自Statement,两者都是接口。 2.内部都要建立类似于Sockt连接,效率都不是特别高。 从资源利用和安全的角度区分两者的不同: 关于批处理时如何选择,以数据量大小位标准分三种情况: 1)量比较小,二者皆差别不大。 2)量比较多,在PreparedStatement预编译空间范围之内,选择PreparedStatement,因为其只预编译一...
【SQL】JDBC之PreparedStatement类中“预编译”的综合应用
欲买桂花同载酒,终不似,少年游。
07-29 4142
预编译 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 预编译的优点 1、PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程。 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象
jdbc mysql预编译测试类_JDBC之PreparedStatement类中预编译的综合应用解析
weixin_42356958的博客
02-04 258
预编译的优点1、PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程。2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3、statement每次执行sql语句,相关数据库都要执行sql语句...
Tomcat 的 JDBC 连接池是一个高性能的数据库连接管理工具,它允许应用程序通过复用已有的数据库连接来减少创建新连接的时间开销
BLOG域名:programb.blog.youkuaiyun.com
04-29 399
综上所述,Tomcat JDBC Connection Pool 不仅提供了一个易于使用的接口用于简化 Java EE 环境下的数据库交互操作流程, 同时也具备丰富的自定义可能性供开发者依据实际场景灵活调整最佳实践方案.对包下的多个拦截器类进行详细介绍,例如等,说明每个拦截器的功能和使用场景。
Tomcat JDBC Connection Pool 是一个功能强大、性能高效且易于配置的数据库连接池,它能够帮助 Java Web 应用程序更好地管理数据库连接
BLOG域名:programb.blog.youkuaiyun.com
04-24 738
Tomcat JDBC Connection Pool 是一个高性能的数据库连接池,它是 Apache Tomcat 的一部分,但也可以独立使用。它旨在替代或作为 Apache Commons DBCP 的替代品。Tomcat JDBC Connection Pool 是一个成熟且广泛使用的数据库连接池解决方案,特别适合与 Tomcat 或 Spring Boot 集成使用。它提供了丰富的配置选项和高性能支持,但如果你需要更高级的特性(如 HikariCP 提供的),可能需要考虑其他选项。
Liferay教程– Liferay门户Portlet教程
从零开始的教程世界
07-07 1359
Welcome to Liferay Tutorial. Liferary is a JSR 286 complaint leading Portlet container. You can use liferay portlet for creating an enterprise, standard and scalable Web Application. 欢迎使用Liferay教程。 Li...
PreparedStatement 使用like 模糊查询
Jason分享,共同进步
03-03 773
PreparedStatement 使用like 在使用PreparedStatement进行模糊查询的时候废了一番周折,以前一直都没有注意这个问题。一般情况下我们进行精确查询,sql语句类似:select * from table where name =?,然后调用 PreparedStatement的setString等方法给?指定值。那么模糊查询的时候应该怎么写呢?我首先尝试了:sele...
PreparedStatement 或 CallableStatement,方法不能带有参数
shaofei的记事本
01-18 1万+
对于 PreparedStatement 或 CallableStatement,方法不能带有参数继承了Statement接口中所有方法的PreparedStatement接口都有自己的executeQuery,executeUpdate和execute方法。Statement对象本身不包含SQL语句,因而必须给Statement.execute方法提供SQL语句作为参数。Prepared
JDBC-Interview Questions翻译
一段旅程
12-18 1163
原文:https://www.tutorialspoint.com/jdbc/jdbc_interview_questions.htm 因为工作中需要要分享Sharding-jdbc,希望从两个点进行分享,第一是项目中Sharding-jdbc的具体使用,做demo,第二是原理的深入研究。 特此重温了JDBC的内容。 如上地址是一个非常简单易学的外国网站tutorialspoint,很简单基...
StatementPreparedStatement之间的区别
Jenhy的专栏
10-17 1629
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语
PrepareStatementStatement的联系和区别
chris__x的博客
06-15 1027
联系:PrepareStatement继承自Statement,两者都是接口,内部都要建立Socket连接,效率都不是很高。 区别主要有以下几点 1、性能方面 PreparedStatement有预编译的过程,已经绑定sq|,之后无论执行多少遍,都不会再去进行编译。而statement不同,如果执行多少遍,则相应的就要编译多少遍sql,所以preStatement的效率比Statement要高一些 Statement statement = conn.createStatement(); PreparedS
java中PreparedStatementStatement详细讲解
热门推荐
一只苟延残喘的卑微蝼蚁
03-05 13万+
大家都知道PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,那么大家知道为什么PreparedStatement对象可以防止sql注入 ...
PreparedStatement的用法
凯尔探索
12-09 1865
jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间和精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期和时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepare
StatementPreparedStatement
最新发布
03-26
<think>好的,我现在需要向用户介绍StatementPreparedStatement。这两个都是Java中与数据库交互的重要接口,但用户可能不太清楚它们的区别和使用场景。首先,我得回忆一下它们的基本定义。 Statement是JDBC中用于执行静态SQL语句的接口。用户通常用Statement来执行不带参数的SQL查询或更新,比如SELECT、INSERT、UPDATE等。但记得,Statement可能存在SQL注入的风险,因为它是直接拼接字符串的。例如,如果用户在输入里加了恶意代码,可能被当作SQL执行。 然后是PreparedStatement,它是Statement的子接口,用于预编译SQL语句。预编译的好处是可以提高执行效率,尤其是多次执行同一语句时。另外,PreparedStatement使用参数化查询,用问号占位符代替直接拼接,这能有效防止SQL注入。比如,INSERT INTO users VALUES (?, ?),然后用set方法填充参数,这样用户输入的内容会被当作数据处理,而不是代码部分。 接下来需要考虑两者的区别。执行效率方面,PreparedStatement预编译后多次执行更快,而Statement每次都要解析和编译。安全性方面,PreparedStatement更安全,防止注入。可读性和维护性,参数化查询也让代码更清晰。 使用场景的话,Statement可能适用于一次性执行或不涉及用户输入的情况。而PreparedStatement适合需要重复执行或涉及用户输入的动态SQL。不过现在大多数情况下,推荐使用PreparedStatement,尤其是涉及用户输入时。 可能用户会问,为什么PreparedStatement更安全?这时候需要解释参数化查询如何避免将输入作为SQL的一部分执行。另外,预编译的具体过程是怎样的?可能涉及到数据库的查询缓存,预编译后的语句可以被重复利用,减少数据库的解析时间。 还要注意,PreparedStatement不支持直接注入表名或列名,因为预编译的结构已经固定,只能用参数代替值,不能代替标识符。这时候可能需要用其他方法,或者确保动态部分的安全性。 最后,可能需要给一个简单的代码示例对比两者的使用方式。比如Statement执行时用字符串拼接,而PreparedStatement用setString等方法设置参数。 总结的时候要强调两者的主要区别和最佳实践,帮助用户理解在何种情况下选择哪种接口。</think>以下是关于StatementPreparedStatement的对比说明,采用分步解析结构: 1. **基本定义** - **Statement** $$ \text{JDBC API中执行静态SQL语句的接口} $$ 直接通过字符串拼接生成SQL语句,如: ```java String sql = "SELECT * FROM users WHERE name='"+input+"'"; Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery(sql); ``` - **PreparedStatement** $$ \text{Statement的子接口,支持预编译和参数化查询} $$ 使用占位符`?`替代变量,如: ```java String sql = "SELECT * FROM users WHERE name=?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setString(1, input); //参数下标从1开始 ResultSet rs = pstmt.executeQuery(); ``` 2. **核心区别对比表** | **特性** | Statement | PreparedStatement | |--------------------|------------------------------------|-------------------------------------| | SQL注入风险 | 高(直接拼接字符串) | 低(参数值自动转义) | | 执行效率 | 每次需编译 | 预编译后可重复使用 | | 适用场景 | 一次性执行简单SQL | 高频重复执行或含动态参数的SQL | | 二进制数据传输 | 不支持 | 支持`setBlob()`,`setBinaryStream()`| | SQL结构灵活性 | 可动态拼接完整SQL | 仅能参数化值,不能改变SQL结构 | 3. **底层原理** - **PreparedStatement预编译过程** $$ \text{数据库服务器预先解析SQL结构} $$ 生成执行计划并缓存,后续只需传递参数值。例如: ``` 第一次执行:解析SQL → 生成语法树 → 优化执行计划 → 存储计划ID 后续执行:通过计划ID直接调用已优化的执行流程 ``` 4. **典型使用场景** - **必须用PreparedStatement的情况** - 用户输入包含特殊字符(如`O'Neil`) - 批量处理操作(`addBatch()`配合`executeBatch()`) - 存储过程调用(`{call procedure_name(?)}`) - **可用Statement的情况** - DDL语句(`CREATE TABLE`等结构变更操作) - 不含变量的简单查询(如固定报表生成) 5. **性能验证实验** 通过以下代码可测试重复执行效率差异: ```java // PreparedStatement测试(约100ms) PreparedStatement pstmt = conn.prepareStatement("SELECT NOW()"); for(int i=0; i<1000; i++) { pstmt.executeQuery(); } // Statement测试(约300ms) for(int i=0; i<1000; i++) { Statement stmt = conn.createStatement(); stmt.executeQuery("SELECT NOW()"); stmt.close(); } ``` **总结**:优先选择PreparedStatement,其参数化机制既能防御SQL注入(如过滤`' OR '1'='1`这类攻击),又能通过预编译提升性能。仅在SQL结构需要动态变化(如动态表名)时,才考虑使用Statement并严格校验输入内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值