MySQL绑定变量的简单介绍

最新推荐文章于 2025-04-19 22:11:57 发布
转载 最新推荐文章于 2025-04-19 22:11:57 发布 · 4.2k 阅读 · 1

本文介绍 Java 中 PreparedStatement 的使用方法及其带来的优势,包括减少网络通信量、提高执行效率,并能有效防止 SQL 注入攻击。

绑定变量

这个就是Java里面的PreparedStatement了。

PreparedStatement pstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?");
pstmt.setString(1, "Hi");
for (int i = 0; i < 10; i++) {
pstmt.setInt(2, i);
int rowCount = pstmt.executeUpdate();
}
 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

 
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6

这样一个更新的sql语句分成了两部,第一步是把带?的sql语句发送到服务器做预编译。第二步就是设置参数并且执行了。

这样做会有如下的好处:

  • 解析一次sql
  • 执行计划会有部分缓存
  • 二进制的方式只发送参数和句柄减少通信量 
    还有一种预发可以SQL接口绑定变量,这个不常用不说了

限制

  • 会话级别的
  • 如果只执行一次的SQL,使用绑定变量会多一次通讯的开销
  • 不要忘记释放使用绑定变量的资源,因为mysql对这个有一个上线

SQL注入

使用绑定变量还能够额外获得一个好处,即能够防止SQL注入攻击。 
比如登陆的时候我们的代码是这样的:

String sql = "SELECT COUNT(*) FROM user WHERE username='"+ username+"' AND password ='"+ password +"';"
// 如果password 传入 ' OR '1'='1这个时候sql就变成了:
// SELECT COUNT(*) FROM user WHERE username='wzj' AND password = '' OR '1'='1'
这个时候就是查询所有,就相当于永远为true了。
 
  • 1
  • 2
  • 3
  • 4

 
  • 1
  • 2
  • 3
  • 4

使用绑定变量就可以有效的避免这个问题。


MySQL绑定变量:揭秘高性能与安全并重的数据库优化利器
jingling555的博客
03-26 819
在数据库应用中,性能和安全是开发者永恒的追求。当面对高并发请求、重复性SQL操作或用户输入动态拼接的查询时,如何避免性能瓶颈和SQL注入风险?绑定变量(Prepared Statements) 正是解决这些问题的关键!本文将深入剖析MySQL绑定变量的核心原理、性能优势及实战应用,助你彻底掌握这一高效武器。绑定变量(Prepared Statements)是一种“预编译”的SQL执行机制:示例: 二、绑定变量的核心优势 1. 性能飙升:减少解析与编译开销 传统SQL执行流程: 每次执行需完整经历
MySQL预处理(绑定变量),基本操作
ABCisCOOL的博客
04-11 810
本节目标 1.了解什么是预处理 2.了解预处理的优势 3.掌握预处理的基本使用 什么是预处理? 预处理的优势 软件开发php或者是java基本都会用到预处理,但是都并不复杂 预处理的使用 定义预处理语句 prepare stmt_name from preparable_stmt; 执行预处理语句 execute stmt_name [using @var_name [,@var_name]...
Mysql 绑定变量
weixin_34220834的博客
06-20 234
   今天去前程无忧(51job)面试。。考官问了个MYsql 绑定变量概念。    因为之前项目没有接触过 再加上对mysql 研究不足直接问住了- -  回来baidu恶补了下    果然是好东西。    绑定变量的可用性还是不容怀疑的,在大型系统上5%的性能提高已经很不错了,加上绑定变量的安全性,可以很好的规范SQL语句的验证,避免自己单独去写验证语句,    推荐使用绑定变量。 ...
mysql变量绑定
MrDohahah的博客
03-04 1017
mysql c++ 变量绑定
MySQL高级特性——绑定变量
dizao3412的博客
01-19 407
MySQL 4.1 版本开始,就支持服务器端的绑定变量,这大大提高了客户端和服务器端数据传输的效率 介绍 当创建一个绑定变量 SQL 时,客户端会向服务器发送一个SQL语句的原型。服务器端收到这个SQL语句框架后,解析并存储这个SQL语句的部分执行计划,返回个客户端一个 SQL 语句处理句柄。以后每次执行这类查询,客户端都指定使用这个句柄。 绑定变量的SQL,使用问号标记可以接受参...
MySQL绑定变量
XxieYyuHhui的博客
12-04 2322
绑定变量的原理从MySQL4.1版本开始,就支持服务器端的绑定变量(prepared statement),当创建一个绑定变量SQL时,客户端向服务器发送一个SQL语句的原型。服务器端接收到这个SQL语句后,解析并存储这个SQL语句的部分执行计划,返回给客户端一个SQL语句处理句柄。以后每次执行这类查询,客户端都指定使用这个句柄。绑定变量的优势 在服务器只需要解析一次SQL语句。 在服务器端某些优化
mysql jdbc 绑定变量_jdbc测试mysql数据库sql预解析(绑定变量)
weixin_35724999的博客
02-01 257
jdbc测试mysql数据库sql预解析(绑定变量)用习惯了oracle,学习mysql,想测试一下mysql绑定变量的效果。以前看网上介绍大部份都说mysql没有sql共享池的概念,所以也不存在sql预解析或绑定变量的说法。今天测试了一下(通过网络抓包、查看服务器端sql日志及分析源码等方法),发现mysql还是有sql预解析的实现。服务器端是mysql 5.1.58(win32),用jdbc(...
MySQL之深度解析绑定变量:优化、使用与限制
最新发布
wj_rdk的博客
04-19 1185
MySQL的学习与实践过程中,我发现绑定变量这一特性既强大又有诸多需要深入理解的地方。今天就把这些知识整理分享出来,希望能和大家一起学习进步,更全面地掌握MySQL的高级应用。
MySQL安全规范:绑定变量与替代变量使用
"本文主要介绍MySQL绑定变量和替代变量使用规范,以及MySQL的基本原理,包括体系架构、系统调优、应用调优、高可用结构、数据保护、开发规范和管理。" 在MySQL中,绑定变量和替代变量使用是数据库安全的...
C# MySQL 插入变量
dsadasjdka的博客
07-31 2873
string pConStr = "datasource=127.0.0.1;username=root;password=shi123;database=test;charset=utf8"; try { MySqlConnection pMysqlConnection = new MySqlConnection(...
java绑定变量怎么加_在JAVA 源程序中编写SQL语句时使用ORACLE 绑定变量
weixin_36132740的博客
02-24 280
在JAVA中的SQL 语句的编写方面,没有使用ORACLE 绑定变量,很大程度上降低了数据库的性能,表现在两个方面:1、SQL语句硬分析(Hard Parse)太多,严重消耗CPU资源,延长了SQL语句总的执行时间SQL语句的执行过程分几个步骤:语法检查、分析、执行、返回结果。其中分析又分为硬分析(Hard Parse)和软分析(Soft Parse)。一条SQL语句通过语法检查后,Oracle ...
mysql 绑定变量_测试mysql绑定变量功能
weixin_29325007的博客
01-18 349
测试mysql绑定变量功能一般编写连接oracle数据库的程序时,都会使用绑定变量技术,oracle的绑定变量功能为为它增色不少,大大提高了数据库的性能,在数据库优化的时候也能获得更多更详细的信息。在关于mysql是否支持绑定变量功能,和mysql绑定变量功能是不是鸡肋的说法和讨论比较多,今天我就做个小实验,测试下php+mysql绑定变量功能是否能够提高web和mysql的性能,提高的比率...
mysql的数据绑定
flyingfalcon的专栏
12-28 2539
mysql 参数绑定
Java学习 - MySQL变量和控制流程练习实例
paofuluolijiang的博客
06-21 593
MySQL自带数据库myemployees中employee_id为3的员工的first_name赋值给name。修改MySQL中会话事务隔离级别变量为读未提交,全局隔离级别变量为序列化。因为循环只能写在存储过程或者函数中,所以循环的具体练习放在之后练习。因为循环只能写在存储过程或者函数中,所以循环的具体练习放在之后练习。查看MySQL中系统变量中含’char’的全局变量和会话变量。查看MySQL系统变量中全部的全局变量和会话变量。查看MySQL中全局和会话事务隔离级别变量。放到存储过程和函数中练习。
oracle日期绑定变量,Oracle之绑定变量 2
weixin_42513296的博客
04-10 310
绑定变量(bind variable)我们经常在写plsql中用到,那我们承接上一节的来看看在plsql中静态sql和动态sql在绑定变量的区别declarev_value_avarchar2(100);v_value_bvarchar2(100);v_namevarchar2(50);beginv_value_a:='SMITH';selecte.ename/*+test*/intov_name...
MySQL数据库SQL开发规范
专栏
07-03 602
MySQL数据库SQL开发规范 1、范围 2、规范性引用文件 3、术语和定义 3.1.索引策略 3.1.1 独立的列 独立列 是指索引列不能是表达式的一部分,也不能是函数的参数。 尽可能简化where条件,始终将搜索列单独放置在比较符号一侧: 如 : mysql> select id from ipdata where id + 1 = 5; --无法使用索引列 mysq
【Mybatis】Mybatis使用日期类型参数作为where查询条件遇到的一点小坑
要继续努力的孤独的博客
03-20 8846
@Data public class Work { private Employee employee; @DateTimeFormat(pattern = "yyyy-MM-dd HH:mm:ss") private Date workTime; private Date startTime; private Date endTime; priva...
c++ mysql 插入数据绑定变量
02-26
### C++ 中使用 MySQL 插入数据并绑定变量 在 C++ 应用程序中通过 MySQL Connector/C++ 使用预处理语句来插入带有绑定参数的数据是一种安全有效的方法。这种方法可以防止 SQL 注入攻击,并提高查询性能。 #### ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值