预编译的 SQL 语句的对象-PreparedStatement

最新推荐文章于 2024-07-23 21:16:57 发布
原创 最新推荐文章于 2024-07-23 21:16:57 发布 · 657 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了JDBC中PreparedStatement的应用,解释了为何建议总是使用PreparedStatement替代Statement,包括提高代码的可读性和可维护性、执行效率及安全性。此外,文章还提供了具体的实例代码,展示如何创建和使用PreparedStatement。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

           有人主张,在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement。为什么呢?一.代码的可读性和可维护性.二、PreparedStatement的效率比较高,数据库语句可以复用。三、安全性高,防注入。

          PreparedStatement 实例包含已编译的 SQL 语句。这就是使语句准备好。包含于PreparedStatement 对象中的 SQL 语句可具有一个或多个 IN 参数。IN参数的值在 SQL 语句创建时未被指定。相反的,该语句为每个 IN 参数保留一个问号()作为占位符。每个问号的值必须在该语句执行之前,通过适当的setXXX 方法来提供。

          由于 PreparedStatement 对象已预编译过,所以其执行速度要快于 Statement 对象。因此,多次执行的 SQL 语句经常创建为 PreparedStatement 对象,以提高效率。

          作为 Statement 的子类,PreparedStatement 继承了 Statement 的所有功能。另外它还添加了一整套方法,用于设置发送给数据库以取代 IN 参数占位符的值。同时,三种方法 execute executeQuery executeUpdate 已被更改以使之不再需要参数。这些方法的 Statement 形式(接受 SQL 语句参数的形式)不应该用于 PreparedStatement 对象。

-创建 PreparedStatement 对象

          以下的代码段(其中 con Connection 对象)创建包含带两个 IN 参数占位符的 SQL 语句的 PreparedStatement 对象:

          PreparedStatementpstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?");

          pstmt 对象包含语句 "UPDATE table4 SET m = ? WHERE x = ?",它已发送给DBMS,并为执行作好了准备。

 

-传递 IN 参数

          在执行 PreparedStatement 对象之前,必须设置每个 ? 参数的值。这可通过调用 setXXX 方法来完成,其中 XXX 是与该参数相应的类型。例如,如果参数具有Java 类型 long,则使用的方法就是 setLongsetXXX 方法的第一个参数是要设置的参数的序数位置,第二个参数是设置给该参数的值。例如,以下代码将第一个参数设为 123456789,第二个参数设为 100000000

          pstmt.setLong(1, 123456789);pstmt.setLong(2, 100000000);

          一旦设置了给定语句的参数值,就可用它多次执行该语句,直到调用clearParameters方法清除它为止。在连接的缺省模式下(启用自动提交),当语句完成时将自动提交或还原该语句。 

          如果基本数据库驱动程序在语句提交之后仍保持这些语句的打开状态,则同一个 PreparedStatement 可执行多次。如果这一点不成立,那么试图通过使用PreparedStatement 对象代替 Statement 对象来提高性能是没有意义的。 

          利用 pstmt(前面创建的 PreparedStatement 对象),以下代码例示了如何设置两个参数占位符的值并执行 pstmt 10 次。如上所述,为做到这一点,数据库不能关闭 pstmt。在该示例中,第一个参数被设置为 "Hi"并保持为常数。在 for 循环中,每次都将第二个参数设置为不同的值:从 0 开始,到 9 结束。

          pstmt.setString(1,"Hi");

          for (int i= 0; i < 10; i++)

           {

           pstmt.setInt(2, i);int rowCount = pstmt.executeUpdate();

           }

          例:



package com.JDBC.TEST;
import java.sql.Connection;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.sql.Statement;
import com.JDBC.ConnectionFactory.ConnectionFactory;
import java.sql.PreparedStatement;

public class JDBCPreparedStatement {
	Connection con = null;
	PreparedStatement ps = null;
	ResultSet rs = null;
	int value = 0;

	public static void main(String[] args) {
		// new JDBCPreparedStatement().updateDB();
		new JDBCPreparedStatement().deleteDB();
	}
   //增加记录
	public void updateDB() {
		con = ConnectionFactory.reCon();
		StringBuffer SQL = new StringBuffer();
		SQL.append("INSERT INTO TB_JDBC ");
		SQL.append("(classname) ");
		SQL.append("VALUE (?)");
		try {
			ps = con.prepareStatement(SQL.toString());
			for (int i = 6; i < 1006; i++) {
				ps.setString(1, "DS120" + i);
				value = ps.executeUpdate();
			}
			System.out.println("effect rows" + value);
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			ConnectionFactory.colse(ps, con, rs);
		}
	}
     //删除记录
	public void deleteDB() {
		con = ConnectionFactory.reCon();
		StringBuffer SQL = new StringBuffer();
		SQL.append("DELETE FROM TB_JDBC ");
		SQL.append("WHERE classid > ? AND classid < ?");
		try {
			ps = con.prepareStatement(SQL.toString());
			ps.setInt(1, 2);
			ps.setInt(2, 2003);
			value = ps.executeUpdate();
			System.out.println("effect rows" + value);
		} catch (SQLException e) {
			e.printStackTrace();
		}
	}
}


大数据必学Java基础(九十五):预编译语句对象
Lansonli(蓝深李)的博客
11-07 1038
当该编译语句被执行时,DBMS直接运行编译后的SQL语句,而不需要像其他SQL语句那样首先将其编译。mysql驱动的PreparedStatement实现类的setString()方法内部做了单引号的转义,而Statement不能防止sql注入,就是因为它没有把单引号做转义,而是简单粗暴的直接拼接字符串,所以达不到防止sql注入的目的。当客户发送一条SQL语句给DBMS后,DBMS总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句
sql 预编译语句
weixin_41563161的博客
11-25 5506
sql 预编译语句 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种普通语句称作Immediate Statements。 但是很多情况,我们的一条sql语句可能会反
使用PreparedStatement预编译语句对象
昊帅的博客
09-01 1007
首先,要弄明白为什么要用PreparedStatement 代替Statement? 1、用PreparedStatement,代码的可读性和可维护性高 2、PreparedStatement 能尽最大可能提高性能 3、最重要的一点,极大的提高了安全性(防止sql注入) 简单的sql注入:当用Statement时,用’or 1= 1 or’可以作为password进入任何登陆账户。这是因为当
SQL】JDBC之PreparedStatement类中“预编译”的综合应用
欲买桂花同载酒,终不似,少年游。
07-29 4133
预编译 SQL 语句预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句预编译的优点 1、PreparedStatement预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程。 2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象
PreparedStatement预编译sql执行对象
weixin_30563319的博客
09-27 307
一、预编译,防sql注入 其中,设置参数值占位符索引从1开始;在由sql 连接对象创建 sql执行对象时候传入参数sql语句,在执行对象在执行方法时候就不用再传入sql语句; 数据库索引一般是从1开始,java对象一般是从0开始; java代码方法subString(2,5)是左闭右开区间,数据库subString(str, 5) 是从5开始截取...
JDBC 删除数据两种方式,PreparedStatement表示预编译SQL 语句对象,防止sql注入...
weixin_30520015的博客
05-08 386
1.statement使用的不方便2.sql注入的问题* 在SQL语句中使用了系统自带的关键字 or and ,让where条件判断失效* prepareStatement:* 1.sql语句不用在拼字符串* 2.防止sql注入问题 1 public class CURDTest { 2 public static void main(Str...
【JDBC】PreparedStatement执行动态sql语句对象预编译
Need not to know
11-30 1221
PreparedStatement执行动态(预编译sql语句对象   功能:   1.防止sql注入问题 SELECT * FROM 表名 WHERE username = '江河' AND password = 'Foriver' OR 'a' = 'a' - 这里由于添加了OR 'a' = 'a',使得WHERE表达式的结果恒为true,所以会查询出表中所有的数据,造成安全性问题   2.效率更高(※后期使用PreparedStateme
Java Web应用开发 34 课堂案例-使用预编译SQL语句.docx
07-13
在Java Web应用开发中,预编译SQL语句PreparedStatement)是一种高效且安全的方式来执行数据库操作。本案例主要关注如何使用PreparedStatement来添加商品信息到数据库,这涉及到以下几个关键知识点: 1. **...
如何获得PreparedStatement最终执行的sql语句
03-24
在Java的JDBC编程中,`PreparedStatement`是一个非常重要的接口,它用于预编译SQL语句,提高了数据库操作的效率和安全性。当我们处理大量重复的SQL操作时,使用`PreparedStatement`可以避免SQL注入等问题,同时提升...
MyBatis 预编译 SQL
xycxycooo的博客
07-23 1315
MyBatis 是一个优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。预编译 SQL 是 MyBatis 的一个重要特性,它可以提高 SQL 执行的效率,并且可以防止 SQL 注入攻击。预编译 SQL 的主要思想是将 SQL 语句和参数分开处理。MyBatis 会将 SQL 语句预编译成一个 PreparedStatement 对象,然后将参数绑定到这个对象上。这样可以避免每次执行 SQL 时都进行编译,从而提高执行效率。
使用预编译对数据库的操作
weixin_41536380的博客
07-28 333
预编译语句PreparedStatement
Java教程
03-23 2108
Statement对象在每次执行SQL语句时都将该语句传给数据库,在多次执行同一语句时,这样做效率较低。这时可以使用PreparedStatement对象.如果数据库支持预编译,它可以将SQL语句传给数据库作预编译,以后每次执行这个SQL语句时,速度就可以提高很多。如果数据库不支持预编译,则在语句执行时,才将其传给数据库。这对用户来说是透明的。PreparedStatement对象SQL语句还可
怎么使用预编译对象
weixin_30408675的博客
06-28 311
1 package jdbcDome; 2 3 import java.sql.Connection; 4 import java.sql.PreparedStatement; 5 import java.sql.ResultSet; 6 import java.sql.SQLException; 7 import java.util.Scanner; ...
批处理SQL语句的执行效率提高的方法
weixin_30439031的博客
01-12 385
如果项目要求程序对高达几万条的数据在集中的时间内执行固定序列的操作,且不能完全使用存储过程时而需要使用程序来执行时。会需要这些优化。 我们知道,SQL服务器对一条语句的执行,需要分析、编译、执行这些步骤,通过参数化我们可以对一种命令只分析和编译一次,而执行多次,从而提高效率。在执行时,如果每次提交语句,可以完成多条SQL语句,则可以减少通讯时间,也可以提高效率。 通过 System.Dat...
SQL语句预编译
yushui的笔记本
04-22 1万+
SQL语句预编译一、预编译SQL语句处理预编译语句PreparedStatement 是java.sql中的一个接口,它是Statement的子接口。通过Statement对象执行SQL语句时,需要将SQL语句发送给DBMS,由DBMS首先进行编译后再执行。预编译语句和Statement不同,在创建PreparedStatement 对象时就指定了SQL语句,该语句立即发送给DBMS进行编译。当该
JDBC学习(五、预编译语句对象
bigdodo的博客
06-12 2932
一、PreparedStatement接口的常用方法是Statement的子接口,表示预编译SQL 语句对象.设置占位符参数(告诉SQL中的?到底表示哪一个值): void  setXxx(int parameterIndex, Xxx value): xxx表示数据类型,比如:String,int,Long等.        parameterIndex:设置第几个占位符?(从1开始). ...
[疯狂Java]JDBC:PreparedStatement预编译执行SQL语句
Lirx_Tech的专栏
04-14 1万+
1. SQL语句的执行过程——Statement直接执行的弊病:     1) SQL语句和编程语言一样,仅仅就会普通的文本字符串,首先数据库引擎无法识别这种文本字符串,而底层的CPU更不理解这些文本字符串(只懂二进制机器指令),因此SQL语句在执行之前肯定需要编译的;     2) SQL语句的执行过程:提交SQL语句 -> 数据库引擎对SQL语句进行编译得到数据库可执行的代码 -> 执行S
SQL语句预编译
热门推荐
理论之树
03-07 2万+
在学习数据库编程时,我们都知道在执行SQL命令时,有二种选择: 可以使用PreparedStatement对象, 也可以使用Statement对象。 而熟悉JDBC编程的大侠们都会选择使用PreparedStatement对象,主要因为使用预编译对象PreparedStatement时,有以下几个优点: 首先是效率性  PreparedStatement 可以尽可能的提高
什么是预编译?何时需要预编译
理工科的杜小甫的博客
07-07 1万+
什么是预编译预编译又称为预处理 , 是做些代码文本的替换工作。 处理以# 开头的指令 , 比如拷贝 #include 包含的文件代码,#define 宏定义的替换 , 条件编译等,就是为编译做的预备工作的阶段。主要处理#开始的预编译指令,预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。C 编译系统在对程序进行通常的编译之前,首先进行预处理。 c 提供的预处理功
预编译sql语句
最新发布
03-08
### 编写预编译SQL语句 预编译SQL是在执行前由特定工具或库解析并优化的SQL语句。这种方式允许程序在运行时直接利用已优化好的查询计划,从而提高性能和安全性。 #### 预编译SQL语法实例 以Java为例,在JDBC中可以通过`PreparedStatement`来实现预编译: ```java String sql = "SELECT * FROM users WHERE username = ?"; try (Connection conn = DriverManager.getConnection(url, user, password); PreparedStatement pstmt = conn.prepareStatement(sql)) { pstmt.setString(1, "exampleUser"); ResultSet rs = pstmt.executeQuery(); } ``` 上述代码展示了如何创建一个带有占位符(`?`)的SQL字符串,并通过设置参数值完成最终的SQL构建过程[^1]。 #### 使用场景与优势分析 ##### 性能提升 由于预编译仅需一次解析操作即可多次重复调用相同的查询逻辑,因此减少了每次请求时CPU资源消耗以及内存分配开销。特别是在高并发环境下表现尤为明显。 ##### 安全防护 当采用预编译方式处理输入数据时,可以有效防止SQL注入攻击的发生。这是因为传入的数据会被视为纯文本而非命令的一部分,即使恶意构造也无法改变原有查询结构[^2]。 然而需要注意的是,这种保护措施只适用于那些能够被参数化的位置;对于其他部分仍然可能存在风险,所以在设计应用时要全面考虑安全因素。 ##### 动态SQL支持 某些框架如MyBatis提供了更灵活的方式来管理复杂的业务需求。例如,可以在XML文件内定义公共使用的SQL片段并通过标签引用它们,简化维护工作量的同时也增强了代码复用率[^3]。 #### 应用案例说明 在一个基于Spring Boot的企业级项目里,为了更好地调试和监控数据库交互情况,开发者可以选择开启MyBatis的日志功能。这不仅有助于排查潜在错误,还能直观地观察到实际发送给DBMS的具体指令形式[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值