PreparedStatement跟Statement的对比

最新推荐文章于 2020-06-15 15:33:43 发布
原创 最新推荐文章于 2020-06-15 15:33:43 发布 · 336 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了PreparedStatement相较于Statement的优势,包括更高的代码可读性和维护性、更好的执行性能以及更高的安全性,有效预防SQL注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

PreparesStatement比Statement的优势

优势1:代码可读性/维护性更高。

优势2:PreparedStatement的执行性能更高。

  PreparedStatement是预编译语句对象,怎么理解。

      1.安全性检查

      2.SQL语法分析

      3.语法编译:编译成二进制

      4.选择并执行一个计划

      在有的数据库服务器中:会把每次执行的SQL给缓存下来,若下次的SQL已经在缓存中,则直接执行第四部。

//事实证明mysql不会把每次执行的缓存下来,性能并没有增加!
//使用Statement插入1000条数据
    //Innodb:35016
    //Myisam:611
    @Test
    public void test1() throws Exception {
        Long begin = System.currentTimeMillis();
        Connection conn = JdbcUtil.INSTANCE.getConn();
        Statement st = conn.createStatement();
        for (int i = 1; i < 1001; i++) {
            String sql = "insert into t_user (username,email) values ('西门','哈哈')";
            st.executeUpdate(sql );
        }
        JdbcUtil.INSTANCE.close(conn, st, null);
        System.out.println(System.currentTimeMillis() - begin);
    }

//使用PreparedStatement插入1000条数据
    //Innodb:30008
    //Myisam:658
    @Test
    public void test2() throws Exception {
        Long begin = System.currentTimeMillis();
        Connection conn = JdbcUtil.INSTANCE.getConn();
        String sql = "insert into t_user (username,email) values (?,?)";
        PreparedStatement ps = conn.prepareStatement(sql);
        for (int i = 1; i < 1001; i++) {
            ps.setString(1, "");
            ps.setString(2, "");
            ps.executeUpdate();
        }
        JdbcUtil.INSTANCE.close(conn, ps, null);
        System.out.println(System.currentTimeMillis() - begin);
    }

优势3:安全性更高,防止SQL注入问题。

登录设计的时候,Statement不如PreparedStatement安全!

//把' or 1 = 1  or '带入账号中不正确
    @Test
    public void tastPreparedStatementStatementLogin() throws Exception {
        Connection conn = JdbcUtil.INSTANCE.getConn();
        String sql = "SELECT * FROM t_user where username = ? and password = ?";
        PreparedStatement ps = conn.prepareStatement(sql);
        ps.setString(1, "' or 1 = 1  or '");    
        ps.setString(2, "1");
        ResultSet rs = ps.executeQuery();
        if(rs.next()){
            System.out.println("ok啦....");
        }else{
            System.out.println("nook啦....");
        }
        JdbcUtil.INSTANCE.close(conn, ps, rs);
    }

    //把' or 1 = 1  or '带入则正确就是因为它把username = '' or 1 = 1  or ''分开看前面false后面ture
    @Test
    public void tastStatementLogin() throws Exception {
        Connection conn = JdbcUtil.INSTANCE.getConn();
        Statement st = conn.createStatement();
    //  String sql = "SELECT * FROM t_user where username = 'admin' and password = '1'";
        String sql = "SELECT * FROM t_user where username = '' or 1 = 1  or '' and password = '1'";
        ResultSet rs = st.executeQuery(sql);
        if(rs.next()){
            System.out.println("ok啦....");
        }else{
            System.out.println("nook啦....");
        }
        JdbcUtil.INSTANCE.close(conn, st, rs);
    }
JDBC介绍及编程流程&StatementPreparedStatement对比&SQL注入攻击
weixin_44480874的博客
08-21 288
JDBC编程 JDBC简介: JDBC(Java Data Base Connection):Java数据库连接。是一种标准Java应用编程接口(Java API),将数据库和Java程序连接起来,是开发人员可以通过Java程序访问数据库。 常见的JDBC组件(JDBC开发中主要用到的类): DriverManager :这个类管理一系列数据库驱动程序。 匹配连接使用通信子协议从 JAVA 应用...
preparedstatementstatement比较
小白有个大牛梦
07-15 157
1: 可以防止sql攻击       statement:sql片段和数据拼凑成一个字符串sql语句通过sta.executeXxx(sql) 整体发给数据库                           数据库无法把数据中伪装的sql判断区分出来       preparedstatement: 先通过
PreparedStatementStatement性能详细对比
黑子的程序员生涯
01-22 752
我对PreparedStatementStatement的性能测试了一下:  测试代码如下: java 代码   Connection con = getOraConnection();   String sql = "select id,name from test where id=";   String tempSql;   int count = 1...
PreparedStatementStatement的区别和效率
Eric_splendid的博客
01-22 2976
同样也是在一次面试中问到的,当时回答说PreparedStatementStatement效率高; 其实这个回答是错误的!掌握的还是不够! 一、PreparedStatement相比于Statement,有三个优点:一)代码的可读性和可维护性。从代码来看,用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说,都比
JDBC中PreparedStatement相较于Statement的优点
qq_41998938的博客
04-27 357
之前执行sql语句都是用Statement去执行的,但是学习了PreparedStatement之后发现PreparedStatement更好用,下面就来说一下PreparedStatement的优点。 优点1: Statement需要进行字符串拼接,可读性和维护性比较差 String sql = “insert into hero values(null,”+"‘提莫’"+","+313.0f...
preparedStatementStatement
DB5155的专栏
04-26 378
<br />在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement 一.代码的可读性和可维护性. 虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次: stmt.executeUpdate("insert into tb_name (col1,col2,col2,c
Oracle基础教程:JDBC,PreparedStatementStatement对比
"Oracle基础教学课件的回顾与作业点评,涵盖了JDBC的作用、数据库访问步骤以及PreparedStatementStatement的优势。" 在Oracle基础教学中,JDBC(Java Database Connectivity)是Java编程语言中用来规范应用程序...
Java中PreparedStatementStatement性能对比分析
在使用JDBC进行数据库交互时,通常会涉及到两种不同类型的数据库操作接口:StatementPreparedStatement。本次资源文件标题'Pr_St_insert.rar_statement'暗示了对这两种接口在插入操作(insert)性能方面的比较研究...
深入理解PreparedStatementStatement的差异
为了有效地执行SQL语句,开发者们经常会使用两种主要的接口来与数据库交互:`Statement`和`PreparedStatement`。了解这两种方式的异同对于编写高效的数据库操作代码至关重要。 ### Statement接口 `Statement`是JDBC...
16.PreparedStatementStatement区别?
最新发布
04-04
嗯,用户问的是PreparedStatementStatement的区别,这个问题在数据库编程里挺常见的。首先得理清楚它们的基本概念,然后分点说明区别。可能用户正在学习JDBC或者数据库操作,想了解为什么推荐使用...
preparedStatement相比statement的优势
lolichan的博客
01-06 985
1、代码可读性和可维护性 statement是将参数拼接到sql语句,preparedstatement则是以“?”代替参数位再以传参的形式设置参数。其实无所谓好坏看个人习惯2、   2、性能 许多数据库会对预编译的语句进行缓存,以备重复调用。下次调用同一语句只要将参数传入编译过的语句执行就行不用再次编译(类似函数)。而statement即使是同一操作,但是每次操作数据不同,使整个语句匹...
PreparedStatementStatement的区别及优势
梁先森的博客
10-30 545
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 StatementPreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询。 为什么我们平常项目或者工作中,大多数都使用PreparedStatement,而不是Statem
PreparedStatement真的比Statement快吗?
Ivan Li 的大杂烩
01-22 324
从开始写java程序就一直被灌输着一种思想,如果使用jdbc一定要使用PreparedStatement,而不要使用Statement对象。 其中的原因有好多,比如可以防止SQL注入攻击,防止数据库缓冲池溢出,代码的可读性,可维护性。这些都很正确。 但是还有一点人们经常提的就是PreparedStatement能够显著的提高执行效率。 看了两篇关于PreparedStatement和Stat...
PreparedStatement比较Statement【转】
weixin_30458043的博客
10-30 80
  关于PreparedStatementStatement的比较,网络上已经有许多文章告诉我们要使用PreparedStatement来代替Statement。大致的原因是:   1、预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个函数)就会得到执行.这并不是...
PrepareStatementStatement的联系和区别
chris__x的博客
06-15 1026
联系:PrepareStatement继承自Statement,两者都是接口,内部都要建立Socket连接,效率都不是很高。 区别主要有以下几点 1、性能方面 PreparedStatement有预编译的过程,已经绑定sq|,之后无论执行多少遍,都不会再去进行编译。而statement不同,如果执行多少遍,则相应的就要编译多少遍sql,所以preStatement的效率比Statement要高一些 Statement statement = conn.createStatement(); PreparedS
StatementPreparedStatement之间的关系和区别
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译的 SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
JDBC基础教程之PreparedStatement
盗也有道>>>>
11-12 3055
概述该 PreparedStatement 接口继承 Statement,并与之在两方面有所不同:PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句“准备好”。包含于 PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号(“?”)作为占位符。每个
StatementPreparedStatement的区别
liuhuan1534的专栏
05-08 563
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,pre...
java中PreparedStatementStatement详细讲解
热门推荐
一只苟延残喘的卑微蝼蚁
03-05 13万+
大家都知道PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,那么大家知道为什么PreparedStatement对象可以防止sql注入 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值