PreparedStatement 不能用?代替表名的原因

最新推荐文章于 2022-08-16 10:01:44 发布
最新推荐文章于 2022-08-16 10:01:44 发布
阅读量2.7k 收藏 2
点赞数 5
CC 4.0 BY-SA版权
文章标签: jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39015329/article/details/77525038
本文探讨了在使用PreparedStatement时为何不能用?代替表名,并通过实例演示了这一做法导致的问题及解决方案。

PreparedStatement 不能用?代替表名的原因

写了一串查看表结构的代码,但一直报错:com.mysql.jdbc.exceptions.jdbc4.MySQLSyntaxErrorException


        PreparedStatement preparedStatement = connection.prepareStatement("DESC ? ");
        preparedStatement.setString(1, tableName);
        //System.out.println(preparedStatement.toString());
        System.out.println(preparedStatement.execute());

但是用字符串直接拼接就会正常运行,于是我就直接把preparedStatement.toString()输出,看看改完之后是什么样子。
发现代替 ? 的string都是用‘ ’单引号包裹着,导致sql认为我的表名是个参数,所以报错。

以此记录自己jdbc过程中的小过程,亦愿为困惑着的小学弟们解惑。敲代码多注意一些小细节会节省更多的时间。

Wrong_config
关注
java preparestatement 未找到_关于java:您能告诉我为什么会出现“无法使用在PreparedStatement上使用带有查询字符串的查询方法”的问题吗?...
weixin_42503415的博客
03-02 1788
本问题已经有最佳答案,请猛点这里访问。我一直遇到错误"无法使用在PreparedStatement上使用查询字符串的查询方法"。尝试调试以下代码和SQL Select查询时。 (Postgres 9.4,jdk 1.8)也许我是盲人,它是一个简单的类型,但是我可以使用一些帮助。我的控制台输出:SELECT rowid, firstname, lastname, prefname, email1, ...
PreparedStatement 不定参数处理
xingyuncaojun的博客
04-25 1499
最近项目用到PreparedStatement,根据输入条件查询数据,输入条件不为空,则参与查询,为空,则不参与查询。网上搜了,也是按照网上的方法,也不算原创,记录一下。 参考文章:https://blog.youkuaiyun.com/dream_broken/article/details/44681597/ 代码如下: Connection conn = null; PreparedStatem...
jdbc不能使用占位符代及其解决方法
Artisan_w
08-16 1721
jdbc不能使用占位符代的解决方法
PreparedStatement预编译无法用?占位符替换和字段
LiQiyao的博客
04-29 7071
PreparedStatement是Statement的改良版,具有预编译功能,方便使用,运行速度快。 可以通过?占位符把字段值替换,之后通过setXXX方法,注入字段值。 但是?占位符只能替换字段值,不能替换、字段或者其他关键词。
PreparedStatement不能使用获取查询字符的查询方法
pjb103的博客
05-09 9556
Exception in thread "main" org.postgresql.util.PSQLException: 在 PreparedStatement不能使用获取查询字符的查询方法。 at org.postgresql.jdbc2.AbstractJdbc2Statement.executeQuery(AbstractJdbc2Statement.java:262) at co
java createstatement,java – 无法使用preparedStatement创建
weixin_36481714的博客
03-19 392
我无法在数据库(mySQL)中创建,使用preparedStatement并尝试使用preparedStatement.setInteger()输入future称:static String queryCreateTable = "CREATE TABLE ?" +"(ID INTEGER not NULL ," +"BRAND VARCHAR(40)," +"MODEL VARCHAR(...
JAVA——prepareStatement中SQL语句中占位符(?)替换和字段
无限迭代中......
01-11 5595
基本概念 PreparedStatement:Statement的改良版,具有预编译功能,方便使用,运行速度快。 问题描述 1.根据测试占位符?不能用于 String strSql="SELECT * FROM ?"; try(PreparedStatement ps=conn.prepareStatement(strSql)) { ps.setObject(1,"per...
PreparedStatement参数问题(已解决)
dearbaba_11的博客
05-19 1136
PreparedStatement参数问题(已解决)
PreparedStatement 浅谈
qq_34956796的博客
10-28 389
用过Mybatis的都应该了解 #{] ${} 的区别:一般较为常见的回答是:#{}是预编译处理,${}是字符串替换。 所以涉及到了 myabties的底层使用PreparedStatement。但是按照官方说法预编译功能是需要手动开启的。这里以mysql为例:MySQL启用预编译的先决条件是useServerPstmts=true。MySQL是否默认开启和jdbc的版本有很大关系,关系如下: ...
PreparedStatement不能动态设置和列
hello
07-24 4898
static String url = "jdbc:mysql://localhost:3306/test?characterEncoding=utf8&useSSL=true"; static String user = "root"; static String password = "root"; public static void main(String[] str) t...
PreparedStatement不能动态设置
weixin_44187116的博客
07-02 805
pt = conn.prepareStatement("select * from table=? where sno=? and password=?"); pt.setString(1, status); pt.setString(2, account); pt.setString(3, password); 报错:You have an error in your SQL syntax; check the manual that correspond...
PreparedStatement不能用来设置、字段
曹利荣的博客
01-25 1275
今天动手写课程设计,JDBC某处用到PreparedStatement,最初想将、字段、字段值都作为参数?代替,可是实践之后发现行不通。 最初想这样写: preparedStatement = connection.prepareStatement("select * from ? where ?=?"); preparedStatement.setString(1, tableNa...
Oracle数据库:使用PreparedStatement查询不到相应数据
weixin_45891628的博客
04-24 1756
问题描述 在使用Java对Oracle数据库进行查询的过程,出现了数据库中存在相应数据,但查询不到的问题。 修改前的结构如下: NAME CHAR PASSWORD CHAR 代码如下: 这里是带参数的查询方式: String sql="select * from USERS WHERE NAME=?"; PreparedStatement pstmt=con.prepareStatement(sql); pstmt.setString(1,"ZYL"); ResultSet rs
Oracle数据库PrepareStatement查不到结果
xiaoputizi的专栏
10-19 2649
Java中用 PreparedStatement语句查询 Oracle数据库没有结果?而如果直接使用 Statement语句查询却有结果集,怎么回事 第一种:不用占位符, java.sql.PreparedStatement ps = connection().prepareStatement("select * from test where name='hello'"); jav
java entity tostring_Java PreparedStatement.toString方法代码示例
weixin_42406647的博客
03-01 285
import java.sql.PreparedStatement; //导入方法依赖的package包/类/*** Gets called by {@code JdbcTemplate.execute} with an active JDBC* PreparedStatement. Does not need to care about closing the Statement* or the...
Conmi的正确答案——PreparedStatement获取完整SQL
Conmi的博客
07-20 1432
测试系统:DEEPIN LINUX 15.6 测试软件:NETBEANS 8.2 & arduino 1.8.4 JDK版本:1.8 PreparedStatement preparedStatement = connection.prepareStatement("select * from ?"); preparedStatement.setString(1,"US...
PreparedStatement连接MySQL数据库,导错包导致的错误
Oweowee的博客
03-17 247
一开始一直报错,反复排查了工具类,方法,MySQL查询语句,User类,都没有错误。 然后开始Ctrl+B进入类,发现导入的User类有错误 最后换回正确的User类,错误解决。
mysql prepare 缺陷,理解Mysql prepare预处理语句
weixin_36443241的博客
03-17 366
MySQL 5.1对服务器一方的预制语句提供支持。如果您使用合适的客户端编程界面,则这种支持可以发挥在MySQL 4.1中实施的高效客户端/服务器二进制协议的优势。候选界面包括MySQL C API客户端库(用于C程序)、MySQL Connector/J(用于Java程序)和MySQL Connector/NET。例如,C API可以提供一套能组成预制语句API的函数调用。其它语言界面可以对使用...
16.PreparedStatement比Statement区别?
最新发布
04-04
<think>嗯,用户问的是PreparedStatement和Statement的区别,这个问题在数据库编程里挺常见的。首先得理清楚它们的基本概念,然后分点说明区别。可能用户正在学习JDBC或者数据库操作,想了解为什么推荐使用PreparedStatement。 首先,Statement是Java里执行SQL语句的基本接口,而PreparedStatement是它的子接口,增加了预编译和参数化查询的功能。需要强调预编译的好处,比如性能提升,因为SQL语句被数据库预编译后,多次执行时不需要重新解析和优化,尤其是处理批量操作的时候。 然后,SQL注入的问题。Statement拼接SQL字符串容易导致注入攻击,比如用户输入里如果有恶意代码,可能会被当作SQL的一部分执行。而PreparedStatement使用参数化查询,用户输入作为参数传递,不会被解析为SQL代码,这样更安全。需要举个例子说明,比如登录验证时的SQL语句。 接下来是可读性和维护性。PreparedStatement用占位符代替字符串拼接,代码更清晰,尤其是当SQL语句很长或者参数很多的时候。比如插入操作,用问号作为占位符,然后按位置设置参数,比在字符串里拼变量更不容易出错。 还有数据类型处理,PreparedStatement自动处理Java对象和SQL数据类型之间的转换,比如Date、Time这些,而Statement需要手动转成字符串,可能出错或者格式不对。 性能方面,除了预编译,还要提到数据库缓存执行计划的情况。同一个PreparedStatement多次执行时,数据库可能会重用之前的执行计划,减少开销。而Statement每次执行都要重新解析,即使SQL语句结构相同,只是参数不同。 可能用户还不太清楚预编译的具体过程,或者参数化查询如何防止注入,需要简单解释一下。比如,预编译时SQL结构已经固定,参数值是在编译后传入,不会被当作语法部分处理。 另外,使用场景的区别。Statement可能适用于静态SQL,比如DDL语句,而PreparedStatement适合动态参数多的DML操作。不过现在一般推荐总是用PreparedStatement,除非有特别原因不用。 最后,是否需要提到CallableStatement?可能暂时不用,用户的问题集中在PreparedStatement和Statement的区别,不需要扩展其他接口。 总结的话,应该分点列出主要区别,包括预编译、性能、安全性、可读性、数据类型处理等方面,每个点简要说明。确保用户理解为什么在实际开发中更推荐使用PreparedStatement。</think>PreparedStatement 和 Statement 是 Java JDBC 中用于执行 SQL 的接口,核心区别如下: --- ### 1. **预编译机制** - **PreparedStatement** SQL 语句会被**预编译**并存储在数据库中,后续只需传递参数值。 示例: ```java String sql = "SELECT * FROM users WHERE age > ?"; PreparedStatement pstmt = connection.prepareStatement(sql); pstmt.setInt(1, 18); // 参数下标从 1 开始 ``` 数据库会缓存编译后的执行计划,重复执行时效率更高。 - **Statement** 每次执行 SQL 都需要重新编译,效率较低: ```java Statement stmt = connection.createStatement(); ResultSet rs = stmt.executeQuery("SELECT * FROM users WHERE age > 18"); ``` --- ### 2. **SQL 注入防护** - **PreparedStatement** 通过**参数化查询**(`?` 占位符)天然防御 SQL 注入: ```java // 用户输入 name = "admin' OR '1'='1" String sql = "SELECT * FROM users WHERE name = ?"; pstmt.setString(1, name); // 输入会被转义为普通字符串,不会破坏 SQL 结构 ``` - **Statement** 直接拼接字符串存在注入风险: ```java String sql = "SELECT * FROM users WHERE name = '" + name + "'"; // 实际执行:SELECT ... WHERE name = 'admin' OR '1'='1'(返回所有数据) ``` --- ### 3. **性能对比** - **PreparedStatement** - 适合批量操作(如插入 1000 条数据): ```java for (int i = 0; i < 1000; i++) { pstmt.setString(1, "user" + i); pstmt.addBatch(); // 添加到批处理 } pstmt.executeBatch(); // 一次提交 ``` - 数据库可复用预编译的 SQL 模板。 - **Statement** 每次执行需重新解析 SQL,批量操作效率低。 --- ### 4. **数据类型处理** - **PreparedStatement** 自动处理数据类型转换(如 `setDate()`, `setBlob()`): ```java pstmt.setDate(1, new java.sql.Date(System.currentTimeMillis())); ``` - **Statement** 需手动拼接复杂类型(如日期、二进制数据),易出错: ```java String date = "2023-10-01"; String sql = "INSERT INTO logs VALUES ('" + date + "')"; // 依赖字符串格式 ``` --- ### 5. **可读性与维护性** - **PreparedStatement** 使用占位符 `?` 使 SQL 结构清晰,易于维护: ```sql UPDATE products SET price = ? WHERE id = ? ``` - **Statement** 长 SQL 拼接易混乱: ```java String sql = "UPDATE products SET price=" + price + " WHERE id=" + id; ``` --- ### 总结对比 | 特性 | PreparedStatement | Statement | |---------------------|----------------------------------|------------------------| | **预编译** | ✔️ 支持 | ❌ 不支持 | | **防 SQL 注入** | ✔️ 天然防护 | ❌ 需手动处理 | | **性能** | ✔️ 高(尤其批量操作) | ❌ 低 | | **数据类型处理** | ✔️ 自动转换 | ❌ 手动拼接 | | **适用场景** | 动态参数查询、批量操作 | 静态 SQL(如 DDL 语句) | --- **实际开发建议**:优先使用 PreparedStatement,安全性更高且性能更优。仅在对 SQL 动态性要求极高(如动态)时,才考虑 Statement。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值