PreparedStatement与Statement

最新推荐文章于 2023-08-25 11:24:19 发布

shendeguang

最新推荐文章于 2023-08-25 11:24:19 发布

阅读量747

点赞数

web 专栏收录该内容

118 篇文章

订阅专栏

本文深入探讨了PreparedStatement和Statement的区别，包括网络开销、执行效率、SQL注入风险等，并详细解释了PreparedStatement的预编译优势以及如何避免SQL注入攻击。重点介绍了PreparedStatement在减少网络开销和执行计划开销方面的效能提升，以及其在防止SQL注入攻击上的优势。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

PreparedStatement:

1.PreparedStatement的节省的时间是网络开销的时间，真正sql执行的时间大概占10%，建立网络连接的时间大概占90%.

对于一些批量插入的操作，DB的服务器端仍然是逐条插入的(以前一直以为DB服务器端对于PrestatedStatement的sql只执行一次,这是错误的理解, 仍然是多次,只是这个多次是在一次连接的基础上实现,而Statement的sql是每次一个连接.多次执行)

2.另外一个省掉的时间是预编译的sql被缓存，并且只生成一次执行计划,而Statement的每一条sql都会生成一次执行划．

3.PreparedStatement一次把参数和带占位符的sql通过连接全部发送到数据库．注意，有可能是多次发送报文，如果报文过大的话，在应用层协议下面的协议会将报文分批发送.

4.PrestateStatement的主要问题是sql调试不爽,只能看到带?的sql, 不过这个通过jdbclogger的工具可以解决,通过jdbclogger其实可以看到预编译sql执行是多条,如果不配置jdbclogger这样的工具,在日志文件里只能看到一条带?点位符的sql, 会误以为只执行一次.

Statement:

1.Statement的这网络开销与执行计划开销都存在

db_conn = DriverManager.getConnection("jdbc:oracle:thin:"+ s1);
db_stmt = db_conn.createStatement();
db_rset = db_stmt.executeQuery(s1);
db_stmt.close();
db_rset.close();
db_conn.close();

2.Statement可能sql注入．

        Example: you have a query  String query = "select * from t_location where id = '" + user_wanna_see_this_location + "'";  where user_wanna_see_this_location is submitted by user. http://daodao.com/example?user_wanna_see_this_location=2011
        Someone submitted  ' or true; drop table t_location; select * from t_location where '' = '
        Always use parameterized sql statement String query = "select * from t_location where id = ?";

3.PrestatedStatement单次执行较Statement慢,如果只执行一次,Statement的开销较PreparedStatement的开销小.

4.Statement每次sql都会打印,好调试.

附:sql注入：
当处理公共Web站点上的用户传来的数据的时候，安全性的问题就变得极为重要。传递给PreparedStatement的字符串参数会自动被驱动器忽略。最简单的情况下，这就意味着当你的程序试着将字符串 “D'Angelo”插入到VARCHAR2中时，该语句将不会识别第一个“，”，从而导致悲惨的失败。几乎很少有必要创建你自己的字符串忽略代码。

在 Web环境中，有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序。特别是在公共Web站点上,在没有首先通过 PreparedStatement对象处理的情况下，所有的用户输入都不应该传递给SQL语句。此外，在用户有机会修改SQL语句的地方，如HTML的隐藏区域或一个查询字符串上，SQL语句都不应该被显示出来。
在执行SQL命令时，我们有二种选择：可以使用PreparedStatement 对象，也可以使用Statement对象。无论多少次地使用同一个SQL命令，PreparedStatement都只对它解析和编译一次。当使用 Statement对象时，每次执行一个SQL命令时，都会对它进行解析和编译。

--------------------------------------------------------------

Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些.
PreparedStatement可以实现Statement的所有功能,但是之所以叫它预编译指令,是因为在创建它的一个对象时可以给定具有一定格式的SQL字符串,然后用它的setXXX方法给指定的SQL语句以填空的方式赋值,具有这样的特性后,它在多次执行一条固定格式的字符串时就很方便,也更效率.不像Statement那样每次执行都要先编译字符串再执行SQL了.

PreparedStatement需要服务器端的支持来提高效率.比如在Oracle上就会有显著效果,而MySQL明确地说明了不支持PreparedStatement.
Oracle中会将所有的SQL语句先编译,叫做"执行计划",放在Oracle内部的一个特定的缓存中,每次遇到相同的SQL,就会先调用缓存中的,如果不预编译,每次都用Statement,那么每次都要编译,在缓冲中会有很多重复的"执行计划"影响数据库的性能.还有一点就是在使用setObject()的时候,记得一定要使用带targetSqlType参数的方法,来提高效率.

SQL注入攻击是利用设计上的漏洞,在目标服务器上运行SQL语句进行攻击,动态生成SQL语句时没有对用户输入的数据进行验证是SQL注入攻击得逞的主要原因.
对于JDBC而言,SQL注入(绕过验证)攻击只对Statement有效,对PreparedStatement是无效的,这是因为PreparedStatement不允许在插入时改变查询的逻辑结构(他的结构已经编译过).

如果有一条SQL语句: "select * from 表 where 用户名 = '用户名'"
Statement的SQL语句是这样写的: "select * from 表 where 用户名 = '"+ 变量值 +"'"
PreparedStatement的SQL语句是这样写的: "select * from 表 where 用户名 = ?" 然后对应?赋值
这样我们就发现输入 "aa' or '1' = '1"
Statement是将这个和SQL语句做字符串连接到一起执行
PreparedStatement是将 "aa' or '1' = '1" 作为一个字符串赋值给?,做为"用户名"字段的对应值,显然这样SQL注入无从谈起了.

实现机制不同,注入只对SQL语句的准备(编译)过程有破坏作用,而PreparedStatement已经准备好了,执行阶段只是把输入串作为数据处理,不再需要对SQL语句进行解析,准备,因此也就避免了SQL注入问题.