JDBC使用预编译SQL的好处

最新推荐文章于 2025-07-13 17:24:14 发布
最新推荐文章于 2025-07-13 17:24:14 发布
阅读量2.2k 收藏 3
点赞数
文章标签: sql jdbc 数据库 user 服务器 insert
本文探讨了使用PreparedStatement对象相较于Statement对象的优点,包括提升执行效率、增强代码可读性和可维护性,以及提高SQL执行的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 1. 执行效率

PreparedStatement可以尽可能的提高访问数据库的性能,数据库在处理SQL语句时都有一个预编译的过程,而预编译对象就是把一些格式固定的SQL编译后,存放在内存池中即数据库缓冲池,当我们再次执行相同的SQL语句时就不需要预编译的过程了,只需DBMS运行SQL语句。所以当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,特别是的大型的数据库中,它可以有效的也加快了访问数据库的速度。

2. 代码可读性、可维护性
比如向记录用户信息的表中插入记录: user(id, password, name, email, address)。使用Statement的SQ语句如下:
String sqlString = "insert into user values('" +
user.id + "', '" +
user.password + "', '" +
user.name + "', '" +
user.email + "', '" +
user.address + "')" ;

使用PrearedStatement的SQL语句如下:

String sqlString = "insert into user(id, password, name, email, address) values(?, ?, ?, ?, ?)" ;
PreparedStatement pstmt = connection.PreparedStatement(sqlString);
pstmt.setString( 1 , user.id);
pstmt.setString( 2 , user.password);
pstmt.setString( 3 , user.name);
pstmt.setString( 4 , user.email);
pstmt.setString( 5 , user.address);

使用占位符?代替参数,将参数与SQL语句分离出来,这样就可以方便对程序的更改和延续,同样,也可以减少不必要的错误。

3. SQL执行的安全性
SQL注入攻击:是从客户端输入一些非法的特殊字符,从而使服务器端在构造SQL语句时仍能正确构造,从而收集程序和服务器的信息或数据。比如在Web信息系统的登录入口处,要求用户输入用户名和密码,客户端输入后,服务器端根据用户输入的信息来构造SQL语句,在数据库中查询是否存在此用户名以及密码是否正确。假设使用上述例子中的表“user”构造SQL语句的Java程序可能是:
sqlString = "select * from user where user.id = '" + userID + "' and user.password = " ' + userPassword + "' ";
其中userID, userPassword是从用户输入的用户名及密码。如果用户和密码输的都是 '1' or '1'='1',则服务器端生成的SQL语句如下:
sqlString = "select * from user where user.id = '1' or '1' = '1' and user.password = '1' or '1' = '1';

这个SQL语句中的where字句没有起到数据筛选的作用,因为只要数据库中有记录,就会返回一个结果不为空的记录集,查询就会通过。上面的例子说明:在Web环境中,有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序。特别是在公共Web站点上,在没有首先通过PreparedStatement对象处理的情况下,所有的用户输入都不应该传递给SQL语句。此外,在用户有机会修改SQL语句的地方,如HTML的隐藏区域或一个查询字符串上,SQL语句都不应该被显示出来。

转自 http://jia1546.is-programmer.com/posts/32518.html
乘风破浪
关注
3.JDBC预编译
pony的博客
02-18 540
由于在书写sql语句时拼接时容易出错 举个栗子: String sql = "insert into stu values("+stu.getId()+",'"+stu.getName()+"',"+stu.getAge()+")"; 当用预编译语句时直接写成这样: String sql = "insert into stu values(?,?,?)"; 基本知识: 预编译语句通过Prepa...
java安全(二):JDBC|sql注入|预编译
weixin_45694388的博客
11-14 6439
1 JDBC基础 JDBC(Java Database Connectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的一系列操作。 2 JDBCConnection 2.1连接 Java通过java.sql.DriverManager来管理所有数据库的驱动注册,所以如果想要建立数据库连接需要先在java.sql.Drive
Java之JDBC连接MySQL数据库实现增删改查(2018 使用Dao层实现 完美封装解决硬编码问题 使用预编译对象PreparedStatement)
09-26
Java之JDBC连接数据库实现增删改查(2018 使用Dao层实现 完美封装解决硬编码问题 使用预编译对象PreparedStatement) 配置文件 db.properties(保存数据库账号和密码等) 工具类 JDBCUtil.java(抽取公共部分,解决硬编码问题) 用户账号实体类 User.java(私有化数据库t_user表中的id,username,password) 接口类 IUserDao.java(制定增删改查业务) 实现类 UserDaoImpl.java(实现增删改查功能 使用预编译对象PreparedStatement 安全、便捷不需要我们去拼接字符串,特别是字段很多的时候 同时效率比Statement更高 ) 测试类 UserDaoTest.java(做测试增删改查功能使用
jdbc预编译
grefr的技术博客,博客已迁移至 http://blog.yemou.net
05-23 244
详见:[url]http://blog.yemou.net/article/query/info/tytfjhfascvhzxcytp20[/url] JAVA_JDBC预编译 相关知识点 什么是预编译语句? 预编译语句PreparedStatement是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行sql语句时,需要将sql语句发送给DB...
SQL预编译:安全高效数据库操作的关键
2301_80215285的博客
07-13 995
摘要:预编译SQL语句(使用PreparedStatement和占位符)是最佳数据库实践,主要优势包括:1)防止SQL注入攻击,将数据与指令分离;2)提升性能,预编译模板可复用执行计划;3)自动处理特殊字符,避免手动转义错误;4)提供类型安全,确保数据一致性;5)增强代码可读性和可维护性。注意占位符仅适用于参数值,不能用于表名/列名。相比字符串拼接,预编译更安全、高效且可靠,应优先采用。
JDBC预编译语句
苍月
02-28 1万+
什么是预编译语句 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编译语句被执行时
Java新人之路 -- JDBC预编译
m0_51709303的博客
12-09 2790
JDBC预编译 原始的JDBC操作,因为SQL语句可以通过字符串进行拼接,因此会出现SQL注入问题,这样是不安全的。 所以我们使用占位符 “?” 来直接修改SQL语句 示例: insert into emp(eno,ename,phone) values(?,?,?); select e.eno,e.ename,e.phone from emp e where e.eno=?; 关键词 PreparedStatement 是Statement的子接口 PreparedStatement 表示预编译
JDBC核心技术与预编译SQL实战
最新发布
08-03
本课程《JDBC核心技术与预编译SQL实战》深入探讨了JDBC的核心技术,并着重介绍了预编译SQL语句的使用和优势。 在数据库编程中,SQL(Structured Query Language)语句是与数据库交互的重要工具。预编译SQL语句,又...
sql 预编译语句
weixin_41563161的博客
11-25 5507
sql 预编译语句 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种普通语句称作Immediate Statements。 但是很多情况,我们的一条sql语句可能会反
JDBC——预编译(PreparedStatemen与Statement)性能比较 及防止sql注入式攻击
yooppa的博客
12-06 2235
写在之前: PreparedStatement和 Statement一样,PreparedStatement也是用来执行sql语句的 与创建Statement不同的是,需要根据sql语句创建PreparedStatement 除此之外,还能够通过设置参数,指定相应的值,而不是Statement那样使用字符串拼接——这样使得使用起来不是很方便 需要进行分别归类 比如查询 和 插入等等这些操作 因为它是根据sql语句内容来的不是直接拼接进去 以下示例代码具体感受以下: import java.sql.Conne
JDBC使用预编译
Albdon的博客
03-24 1339
import java.sql.*; 注册驱动(不同的数据库驱动不同) Class.forName("com.ibm.db2.jcc.DB2Driver"); 创建连接对象 Connection conn = DriverManager.getConnection(url,username,password); 创建预编译命令对象 PreparedStatement pstat = conn.prepareStatement(sql); pstat.setInt(1,1); //给第1个
JDBC预编译
S34497841的博客
05-06 3416
什么是预编译语句 预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该编译语句被执行时
JDBC预编译PreparedStatement
李昆鹏的博客
06-15 376
-----------------------------------------------------------JDBC预编译PreparedStatement----------------------------------------JDBC预编译 1 什么是SQL注入在需要用户输入的地方,用户输入的是SQL语句的片段,最终用户输入的SQL片段与我们DAO中写的SQL语句合成一个完整的...
jdbc 预编译 mysql_java通过JDBC连接MySQL数据库实现 增删查(预编译方式)
weixin_34916118的博客
01-27 328
java通过JDBC连接MySQL数据库实现 增删查(预编译方式)准备工作: 软件myEclipse 数据库MySQLMySQL的驱动下载地址:点击打开链接JDBC(Java Data Base Connectivity,) java数据库连接是一种用于执行SQL语句的Java API加载jdbc驱动,实现数据库连接import java.sql.Connection;import java...
jdbc与mysql预编译
jl1850957991的博客
03-02 580
http://cs-css.iteye.com/blog/1847772
JDBC学习笔记】之【快速入门——预编译查询】
AA8j的博客
07-26 714
预编译查询 编写代码: package cn.goktech; import java.sql.*; public class JDBC_query_precompiled { public static void main(String[] args) throws Exception { String username="黄小明"; Class.forName("org.gjt.mm.mysql.Driver"); // 1.注册驱动
预编译语句(Prepared Statements)介绍,以MySQL为例
weixin_30861797的博客
07-06 497
1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种普通语...
Java中连结MySQL启用预编译的先决条件是useServerPstmts=true.
热门推荐
诗剑书生的专栏
10-28 1万+
在Java编程中,应用代码绝大多数使用了PreparedStatement,无论你是直接使用JDBC还是使用框架。    在Java编程中,绝大多数使用使用了PreparedStatement连接MySQL的应用代码没有启用预编译,无论你是直接使用JDBC还是使用框架。    在我所能见到的项目中,几乎没有见过启用MySQL预编译功能的。网上更有文章说MySQL不支持预编译,实在是害人不浅。
jdbc预编译SQL
05-30
<think>嗯,用户问的是关于JDBC预编译SQL的问题。我需要先回忆一下JDBC的相关知识。预编译SQL主要是通过PreparedStatement来实现的,和普通的Statement有什么不同呢?首先,预编译可以提高性能,因为SQL语句在数据库中被预先编译,多次执行时不需要重复编译。然后,防止SQL注入攻击,因为参数化处理,用户输入不会被当作SQL的一部分执行。那具体怎么使用呢?应该先创建PreparedStatement对象,使用占位符?来代替参数,然后通过setXXX方法设置参数。比如,执行插入操作,用conn.prepareStatement("INSERTINTO users(name, age) VALUES(?,?)");然后设置参数,执行executeUpdate。 然后要解释为什么预编译能防止SQL注入,比如当用户输入中有引号或者特殊字符时,预编译会将这些作为参数处理,而不是拼接到SQL语句中,避免了恶意代码的执行。 可能用户还关心预编译的优缺点,或者和Statement的区别。需要提到性能优势,安全性,以及可读性等方面。另外,可能需要注意预编译SQL在某些情况下是否可以被数据库重用,比如是否缓存PreparedStatement。然后按照要求,给出代码示例,展示如何正确使用PreparedStatement,包括连接数据库、设置参数、执行查询等步骤。同时,对比不安全的Statement方式,说明两者的区别。最后,相关问题要围绕JDBC预编译展开,比如原理、防止注入的方式、优缺点、与存储过程的比较,以及参数设置方法。这些问题可以帮助用户深入理解预编译的重要性及使用场景。</think>JDBC预编译SQL的实现方式是通过`PreparedStatement`接口完成的,以下是实现步骤和原理: ```java // 1. 创建预编译语句 String sql = "SELECT * FROM users WHERE email = ? AND status = ?"; try (Connection conn = DriverManager.getConnection(url, user, password); PreparedStatement pstmt = conn.prepareStatement(sql)) { // 2. 设置参数(索引从1开始) pstmt.setString(1, "user@example.com"); pstmt.setInt(2, 1); // 3. 执行查询 try (ResultSet rs = pstmt.executeQuery()) { while (rs.next()) { // 处理结果集 } } } ``` **为什么需要预编译SQL:** 1. **防止SQL注入**:参数值通过类型安全的方式绑定,不会被解释为SQL语法 2. **性能优化**:数据库会缓存预编译的查询计划,重复执行时无需重新解析SQL 3. **类型安全**:自动处理数据类型转换(如Date转SQL DATE) 4. **可读性**:使用占位符比字符串拼接更清晰 **典型错误示例(不安全的方式):** ```java // 危险!容易导致SQL注入 String input = "'; DROP TABLE users;--"; String badSql = "SELECT * FROM users WHERE name = '" + input + "'"; Statement stmt = conn.createStatement(); stmt.executeQuery(badSql); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值