Statement vs PreparedStatement

最新推荐文章于 2023-11-29 17:30:03 发布
最新推荐文章于 2023-11-29 17:30:03 发布
阅读量503 收藏
点赞数
分类专栏: Java/J2EE DB/Oracle 文章标签: sql table 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiercel2008/article/details/7937462
版权
本文深入探讨了SQL注入的危害及防范措施,重点介绍了使用PreparedStatement替代Statement的优势,通过避免生成多个执行计划,显著提高系统安全性与性能。同时,强调了在认证网页中使用PreparedStatement的重要性,以防止SQL注入攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. PreparedStatement是预编译的,对于批量处理可以大大提高效率:
Statement为每一条Sql语句生成执行计划,
如果要执行两条sql语句
select colume from table where colume=1;
select colume from table where colume=2;
会生成两个执行计划,一千个查询就生成一千个执行计划!

PreparedStatement用于使用绑定变量重用执行计划
select colume from table where colume=:x;
通过set不同数据只需要生成一次执行计划,可以重用

是否使用绑定变量对系统影响非常大,生成执行计划极为消耗资源

两种实现 速度差距可能成百上千倍。

2. 安全性:

传递给PreparedStatement对象的参数可以被强制进行类型转换,使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。而Statement则不能,从而引发sql注入攻击问题,最经典的sql注入例子如:

从理论上说,认证网页中会有形如:
  select * from admin where username='XXX' and password='YYY' 的语句,若在正式运行此句之前,没有进行必要的字符过滤,则很容易实施SQL注入。如在用户名文本框内输入:abc’ or 1=1-- 在密码框内输入:123 则SQL语句变成:
  select * from admin where username='abc’ or 1=1 and password='123’ 不管用户输入任何用户名与密码,此语句永远都能正确执行,用户轻易骗过系统,获取合法身份。

Mysql中的StatementPreparedStatement 和 CallableStatement
nfzhlk的专栏
10-26 2788
首先,官方对于这3个接口的定义是这样的: PreparedStatement是用来执行SQL查询语句的API之一,Java提供了 StatementPreparedStatement 和 CallableStatement三种方式来执行查询语句,其中 Statement 用于通用查询, PreparedStatement 用于执行参数化查询,而 CallableStatement则是用于存储过...
获取执行计划的六种方法
gumengkai的博客
03-05 6262
1. explain planfor获取(类似plsql中的f5) Step1; explain plan for “sql” Step2: select * from table(dbms_xplan.display) SQL> set linesize 200 SQL> set pagesize 20000 SQL> explain plan for select count(*) fr
【Java】PreparedStatement VS Statement
weixin_34092370的博客
03-22 111
创建时:       Statement statement = conn.createStatement();    PreparedStatement preStatement = conn.prepareStatement(sql);  执行时:         ResultSet rSet = statement.executeQuery(sql);    ResultSet pSe...
PreparedStatement VS Statement
weixin_43774824的博客
12-04 276
联系: PreparedStatement 接口是 Statement 的子接口,都可用来SQL查询 区别: 1.代码的可读性和可维护性. Statementsql 拼接属实恶心心~ 2.PreparedStatement 可以防止 SQL 注入 3.PreparedStatement 可以处理 Blob 类型的数据 4.PreparedStatement 能最大可能提高性能:(Oracle...
PreparedStatement vs Statement
欲望以提升热忱 毅力以磨平高山
09-07 865
二者异同: 代码的可读性和可维护性.  PreparedStatement 能最大可能提高性能:      DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行。   在statement语句中,
【JDBC篇】 preparedStatementStatement区别
m0_64231944的博客
11-16 749
preparedStatementStatement的区别,
【Java】JDBC 之 PreparedStatementStatement 的区别和理解【转载并梳理】
最新发布
weixin_50223520的博客
11-29 5581
JDBC 之 PreparedStatementStatement 的区别和理解【转载并梳理】
详解Java的JDBC中StatementPreparedStatement对象
09-03
在Java的JDBC(Java Database Connectivity)中,与数据库交互的核心接口是StatementPreparedStatement。这两个接口都是用于执行SQL语句的,但它们在特性和效率上有所不同。 Statement接口是最基本的SQL执行方式...
StatementPreparedStatement之间的区别
01-14
StatementPreparedStatement之间的区别 StatementPreparedStatement是JDBC中的两种不同的语句对象,用于执行数据库操作。虽然它们都可以执行SQL语句,但是它们之间存在着很大的区别。 首先, Statement对象...
statementpreparedstatement
03-17
statementpreparedstatement都是用来执行SQL语句的接口,但是它们之间有一些重要的区别。 statement是用来执行静态SQL语句的接口,它每次执行都会将SQL语句发送到数据库服务器进行解析和执行。 ...
Statement vs PreparedStatement,孰优孰劣,由你定夺。
Geek+Maker=?
02-17 1220
随着学习java的深入,也暴露出许多不牢固的知识,相信大家有深有感触,那怎么样的知识才能不忘记,信手捏来呢?本人觉得,除了熟练使用之外,要站在java的源码层次的角度去思考问题,这样你得到的收获就会更加丰厚。 以后的学习也可以以这样的思路学习:使用熟练-了解代码运行原理-知道它的优劣体现在哪里,这样可以全方面的了解一个知识。 (说一下题外话,听过新闻酸菜馆或者老梁故事汇节目的朋友,应该
PreparedStatement预编译)和Statement的区别
m0_51649818的博客
09-02 264
1、语法不同 PreparedStatement可以使用预编译sql,只需要发送一次sql语句,后面只要发送参数即可,公用一个sqlStatement只能使用静态的sql。 2、效率不同 PreparedStatement使用了sql缓冲区,效率要比Statement高。 3、安全性不同 PreparedStatement可以有效防止sql注入,而Statement不能防止sql注入。 ...
StatementPreparedStatement之间的关系和区别
suwu150
10-06 6万+
关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高表示预编译SQL 语句的对象。 接口:public interface PreparedStatement extends Statement之间的继承关系 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 注:用于设置 IN 参数值的设置方法(setShort
PreparedStatement预编译
GYL2468323287的博客
03-25 548
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
获取已执行语句的执行计划
cuigou1936的博客
01-18 117
曾经都是写脚本到数据字典v$sql_plan里面去取,Christian Antognini却提供了更好的办法。 (1)在Oracle 10g中,使用dbms_xplan.display_cursor传递sql_id和子游标c...
java中PreparedStatementStatement详细讲解
热门推荐
一只苟延残喘的卑微蝼蚁
03-05 13万+
大家都知道PreparedStatement对象可以防止sql注入,而Statement不能防止sql注入,那么大家知道为什么PreparedStatement对象可以防止sql注入 ...
JDBC--执行计划与接口PreparedStatement
小乔与你同在
11-27 946
1 关于执行计划 (1)任何sql语句执行过程都是先编译成“执行计划”再执行“执行计划”,类似于java文件执行过程先编译成class文件在执行class文件 (2)一条sql语句对应一个执行计划。数据库为了优化性能,在sql语句相同的时候,会对执行计划进行宠用,执行计划编译较慢,重用执行计划可以提高数据库的性能。 (3)数据库只在sql语句完全一样的情况下才会重用执行计划。 INSERT INT...
tatement和PreparedStatement之间的区别
hu_bj的专栏
02-12 432
转自:http://blog.sina.com.cn/s/blog_3e9d2b3501000a52.html 1.PreparedStatement预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值