为什么要尽量使用PreparedStatement代替Statement?

最新推荐文章于 2024-06-23 14:23:28 发布
最新推荐文章于 2024-06-23 14:23:28 发布
阅读量5.6k 收藏 5
点赞数 3
分类专栏: JDBC 文章标签: 数据库 性能优化 编译器 jdbc api 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/axman/article/details/887957
版权
本文阐述了在 JDBC 应用中使用 PreparedStatement 替代 Statement 的三大理由:提高代码的可读性和可维护性;增强应用程序性能,特别是通过预编译语句的缓存机制;以及显著提升安全性,有效防止 SQL 注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >



在JDBC应用中,如果你已经是稍有水平开发者,你就应该尽量以PreparedStatement代替Statement.也就是说,在绝大多数时候都不要使用Statement.
基于以下的原因:
一.代码的可读性和可维护性.
虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:

stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate();

不用我多说,对于第一种方法.别说其他人去读你的代码,就是你自己过一段时间再去读,都会觉得伤心.

二.PreparedStatement尽最大可能提高性能.


每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:
insert into tb_name (col1,col2) values ('11','22');
insert into tb_name (col1,col2) values ('11','23');
即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.

当然并不是所以预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.

 

当然,从理论上而言是预编译语句性能应该比普通的Statement性能高,但是,在某些时候,比如你两种语句的产生的执行计划是不同的,有可能

预编译语句产生的执行计划反而比普通语句慢,所以我们说性能高是指调用方式的性能高,就比如调用API方式有直接的local CALL和remote CALL,local CALL肯定比remote CALL要快,但是如果函数体中的执行逻辑根本不一至,那就不能说local CALL快了.所以如果有时出现预编译语句反而慢的时候,要分析一下它们在数据端执行时的执行计划.

 

另外preparedStatement可以连续执行批操作,这也是它提高性能的主要手段.



三.最重要的一点是极大地提高了安全性.

即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道.
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我们把[' or '1' = '1]作为varpasswd传入进来.用户名随意,看看会成为什么?

select * from tb_name = '随意' and passwd = '' or '1' = '1';
因为'1'='1'肯定成立,所以可以任何通过验证.更有甚者:
把[';drop table tb_name;]作为varpasswd传入进来,则:
select * from tb_name = '随意' and passwd = '';drop table tb_name;有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行.

而如果你使用预编译语句.你传入的任何内容就不会和原来的语句发生任何匹配的关系.只要全使用预编译语句,你就用不着对传入的数据做任何过虑.而如果使用普通的statement,有可能要对drop,;等做费尽心机的判断和过虑.

上面的几个原因,还不足让你在大多数时候使用PreparedStatement吗? 

【微服务】springboot 整合mysql实现版本管理通用解决方案
congge
08-14 7872
springboot 自动管理数据库版本升级常用解决方案
为什么推荐使用PreparedStatement而不是Statement?
Racheil的博客
07-10 1471
JDBC应用中,有经验的开发者,大多都使用PreparedStatement代替Statement 那么,这是为什么呢? 原因基于以下几点: 1.代码的可读性和可维护性 首先,让我们来看看使用Statement的查询SQL语句,只能采用拼接的方法传入参数 int id = 1; String name = "rachel"; String sql = "select * ...
为什么要始终使用PreparedStatement代替Statement?
HouYing
06-06 1991
JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.基于以下的原因:一.代码的可读性和可维护性.虽然用PreparedStatement代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:stmt.e
为什么要始终使用PreparedStatement代替Statement
穷人飞扬的专栏
01-24 1353
JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.基于以下的原因:一.代码的可读性和可维护性.虽然用PreparedStatement代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:stmt.exe
为什么使用PreparedStatement
添砖加瓦
06-12 1474
(个人理解:执行速度,使用方便,代码的可读性维护性,提高性能,安全性)1、PreparedStatement接口继承StatementPreparedStatement实例包含了预编译的SQL语句,所以PreparedStatement的执行要快于Statement。2、作为Statement子类,PreparedStatement继承了Statement的所有功能,三个方法execute、ex...
掌握PreparedStatement使用技巧
## 1.1 什么是PreparedStatement? 在数据库编程中,PreparedStatement是一种预编译的SQL语句,允许动态输入参数,并对SQL注入攻击具有防范作用。 ## 1.2 PreparedStatementStatement的区别 与Statement相比,...
JDBC连接(Statement和PrepareStatement
一路向阳,春暖花开
04-06 2260
1.JDBC连接的连接步骤(Statement和PrepareStatement) (1)注册驱动 (只做一次) (2)建立连接(Connection)  (3)创建执行SQL的语句(Statement) (4)执行语句 (5)处理执行结果(ResultSet) (6)释放资源 1.1注册驱动 (1)Class.forName(“com.mysql.jdbc.Drive
还犹豫什么?这篇JDBC足够了!带你全面理解,从小白到精英(50k字只为博得君一赞)
小安的博客
06-23 1089
卡片1 JDBC概述 数据的持久化 1.持久化(persistence):将内存中的数据保存到可永久保存的存储 设备中(如磁盘) 2.持久化的主要应用是将内存中的数据存储在关系型数据库中,当 然也可以存储在磁盘文件、XML数据文件中 java三大平台 SE ME EE 什么是 JDBC JDBC(Java DataBase Connectivity)java 数据库连接 是JavaEE 平台下的技术规范 定义了在 Java 语言中连接
为什么说尽量使用preparedStatement 代替 statement
Zkun2019的博客
07-08 628
使用statement可能存在sql 注入的风险,下面是测试sql injection 的demo 假设登录的sql是通过字符串拼接出来的,那么我只要在用户名框里填上"'xjbt' or 1=1 -- " 就可以无视判断直接进入系统,因为or 1=1恒成立,"--"将1=1后的语句全部注释,所以肯定能查出数据,当然,现在的网站都会做基本的防sql注入处理,不过出于安全性考虑,带参数的sql都应该用preparedstatement代替statement。 这里用preparedstateme.
JDBC为什么使用PreparedStatement而不是Statement
a coder 的心如止水
07-16 553
PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 StatementPreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查 询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过程。同时PreparedStatemen
JDBC使用PreparedStatement代替Statement,同时预防SQL注入
weixin_30533797的博客
03-13 251
  本篇讲诉为何在JDBC操作数据库的过程中,要使用PreparedStatement对象来代替Statement对象。   在前面的JDBC学习中,对于Statement对象,我们已经知道是封装SQL语句并发送给数据库执行的功能,但是实际开发中,这个功能我们更经常用的是Statement类的子类PreparedStatement类的对象来实现,而不是采用Statement对象。   Stat...
什么叫避免SQL 注入?
最新发布
03-28
<think>嗯,用户问什么是避免SQL注入,我得先解释清楚这个概念。首先,用户可能已经知道一些基础的SQL语句,但可能在实际开发中遇到了安全问题,或者在学习过程中听说过这个术语。他们可能想了解为什么需要避免SQL注入,以及具体怎么做。 我应该从定义开始,说明SQL注入是什么,然后举例说明它的危害,比如数据泄露、数据篡改等。接下来需要解释常见的攻击方式,比如通过输入表单注入恶意代码。然后,重点放在如何防范,比如参数化查询、输入验证、使用ORM框架等。 用户可能对具体的防御措施不太清楚,所以需要用简单易懂的例子来说明,比如对比不安全的SQL拼接和参数化查询的区别。同时,要提到其他方法,比如最小权限原则和避免动态拼接SQL,这样用户能全面了解不同的防范手段。 还要注意用户的背景,可能是开发者或者刚入门的学者,所以语言要尽量通俗,避免太专业的术语,但又要准确。可能需要强调预防的重要性,因为SQL注入是常见的安全漏洞,尤其是在Web应用中。 另外,用户之前的问题是关于MySQL的学习资源,所以可以适当联系MySQL的具体实践,比如在PHP或Python中使用预处理语句的例子。不过这次回答可能不需要深入到具体语言,保持通用性更好。 最后,检查是否有遗漏的关键点,比如使用框架的安全功能,或者定期安全审计,确保覆盖所有主要的防御方法。确保回答结构清晰,分点说明,让用户容易理解和应用。</think>### 避免 SQL 注入:概念与防御方法 --- #### **一、什么是 SQL 注入?** **SQL 注入**(SQL Injection)是一种通过**恶意构造输入参数**,将非法 SQL 代码插入到应用程序的数据库查询中的攻击手段。攻击者利用程序未对用户输入进行充分校验的漏洞,欺骗数据库执行非预期的 SQL 命令,可能导致: - **数据泄露**(如窃取用户密码、敏感信息) - **数据篡改或删除**(如清空数据库表) - **权限绕过**(如无需密码登录管理员账户) - **服务器被控制**(通过执行系统命令) --- #### **二、SQL 注入示例** 假设一个登录功能的后端 SQL 语句如下: ```sql SELECT * FROM users WHERE username = '$username' AND password = '$password'; ``` 如果用户输入: - `username = admin' --` - `password = 任意值` 最终拼接的 SQL 变为: ```sql SELECT * FROM users WHERE username = 'admin' --' AND password = 'xxx'; ``` `--` 是 SQL 注释符,此时会直接查询用户名为 `admin` 的记录,**绕过密码验证**,实现非法登录。 --- #### **三、如何避免 SQL 注入?** 1. **参数化查询(Prepared Statements)** 使用占位符(如 `?` 或命名参数)代替直接拼接变量,数据库会严格区分**代码**和**数据**。 **示例(Java + JDBC):** ```java String sql = "SELECT * FROM users WHERE username = ? AND password = ?"; PreparedStatement stmt = connection.prepareStatement(sql); stmt.setString(1, username); // 自动转义特殊字符 stmt.setString(2, password); ``` 2. **输入验证与过滤** - 对用户输入进行格式检查(如邮箱、手机号正则匹配)。 - 过滤敏感字符(如 `'`、`"`、`;`、`--`),但此方法不如参数化查询可靠。 3. **最小权限原则** 数据库连接账号避免使用 `root` 或高权限用户,仅授予必要权限(如只允许 `SELECT` 操作)。 4. **使用 ORM 框架** 如 Hibernate、MyBatis 等框架默认支持参数化查询,减少手动拼接 SQL 的风险。 5. **避免动态拼接 SQL** 如非必要,不要通过字符串拼接生成 SQL(尤其是拼接用户输入)。 --- #### **四、防御效果对比** | **方法** | **安全性** | **开发成本** | **适用场景** | |-------------------|------------|--------------|----------------------------| | 参数化查询 | ⭐⭐⭐⭐⭐ | 低 | 所有数据库操作 | | ORM 框架 | ⭐⭐⭐⭐ | 中 | 复杂项目 | | 输入过滤 | ⭐⭐ | 高 | 辅助手段(不可单独依赖) | --- #### **五、实际案例** **漏洞代码(PHP):** ```php $username = $_POST['username']; $sql = "SELECT * FROM users WHERE username = '$username'"; // 若用户输入:' OR '1'='1' -- // 最终 SQL:SELECT * FROM users WHERE username = '' OR '1'='1' -- ' // 将返回所有用户数据! ``` **修复代码(使用参数化查询):** ```php $stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?"); $stmt->execute([$username]); // 自动处理特殊字符 ``` --- #### **六、总结** SQL 注入是 Web 安全领域的**头号威胁**,防御核心是: 1. **永远信任用户输入** 2. **严格区分代码与数据**(通过参数化查询) 3. **定期进行安全审计**(如使用 SQL 注入扫描工具)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值