2. 程式人生 > >JDBC 中preparedStatement和Statement

JDBC 中preparedStatement和Statement

阿新 發佈:2018-12-27

一、概念
PreparedStatement是用來執行SQL查詢語句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三種方式來執行查詢語句,其中 Statement 用於通用查詢, PreparedStatement 用於執行引數化查詢,而 CallableStatement則是用於儲存過程。同時PreparedStatement還經常會在Java面試被提及,譬如:Statement與PreparedStatement的區別以及如何避免SQL注入式攻擊?這篇教程中我們會討論為什麼要用PreparedStatement?使用PreparedStatement有什麼樣的優勢?PreparedStatement又是如何避免SQL注入攻擊的?

1.PreparedStatement:
PreparedStatement是java.sql包下面的一個介面,用來執行SQL語句查詢,通過呼叫connection.preparedStatement(sql)方法可以獲得PreparedStatment物件。資料庫系統會對sql語句進行預編譯處理(如果JDBC驅動支援的話),預處理語句將被預先編譯好,這條預編譯的sql查詢語句能在將來的查詢中重用,這樣一來,它比Statement物件生成的查詢速度更快。

2.Statement
使用 Statement 物件。在對資料庫只執行一次性存取的時侯,用 Statement 物件進行處理。PreparedStatement 物件的開銷比Statement大,對於一次性操作並不會帶來額外的好處。

二、深入理解statement 和prepareStatement
1、使用Statement而不是PreparedStatement物件 
JDBC驅動的最佳化是基於使用的是什麼功能. 選擇PreparedStatement還是Statement取決於你要怎麼使用它們. 對於只執行一次的SQL語句選擇Statement是最好的. 相反, 如果SQL語句被多次執行選用PreparedStatement是最好的.

PreparedStatement的第一次執行消耗是很高的. 它的效能體現在後面的重複執行. 例如, 假設我使用Employee ID, 使用prepared的方式來執行一個針對Employee表的查詢. JDBC驅動會發送一個網路請求到資料解析和優化這個查詢. 而執行時會產生另一個網路請求.在JDBC驅動中,減少網路通訊是最終的目的. 如果我的程式在執行期間只需要一次請求, 那麼就使用Statement. 對於Statement, 同一個查詢只會產生一次網路到資料庫的通訊.

對於使用PreparedStatement池的情況下, 本指導原則有點複雜. 當使用PreparedStatement池時, 如果一個查詢很特殊, 並且不太會再次執行到, 那麼可以使用Statement. 如果一個查詢很少會被執行,但連線池中的Statement池可能被再次執行, 那麼請使用PreparedStatement. 在不是Statement池的同樣情況下, 請使用Statement.

2、使用PreparedStatement的Batch功能 
Update大量的資料時, 先Prepare一個INSERT語句再多次的執行, 會導致很多次的網路連線. 要減少JDBC的呼叫次數改善效能, 你可以使用PreparedStatement的AddBatch()方法一次性發送多個查詢給資料庫. 例如, 讓我們來比較一下下面的例子.

***為了區分 “Statement、PreparedStatement、PreparedStatement + 批處理” 這三者之間的效率,下面的示例執行過程都是在資料庫表t1中插入1萬條記錄,並記錄出所需的時間(此時間與電腦硬體有關)。實驗結果如下:
1.使用Statement物件 用時31秒
2.預編譯PreparedStatement 用時14秒
3.使用PreparedStatement + 批處理   用時485毫秒***
-------------------------------------------------------
1.使用Statement物件
使用範圍:當執行相似SQL(結構相同,具體值不同)語句的次數比較少
優點:語法簡單
缺點:採用硬編碼效率低,安全性較差。
原理:硬編碼,每次執行時相似SQL都會進行編譯   

 

三、區別
1.程式碼的可讀性和可維護性. 
雖然用PreparedStatement來代替Statement會使程式碼多出幾行,但這樣的程式碼無論從可讀性還是可維護性上來說.都比直接用Statement的程式碼高很多檔次: 
stmt.executeUpdate(“insert into tb_name (col1,col2,col2,col4) values (‘”+var1+”’,’”+var2+”’,”+var3+”,’”+var4+”’)”);//stmt是Statement物件例項

perstmt = con.prepareStatement(“insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)”); 
perstmt.setString(1,var1); 
perstmt.setString(2,var2); 
perstmt.setString(3,var3); 
perstmt.setString(4,var4); 
perstmt.executeUpdate(); //prestmt是 PreparedStatement 物件例項

不用我多說,對於第一種方法.別說其他人去讀你的程式碼,就是你自己過一段時間再去讀,都會覺得傷心.

2.PreparedStatement盡最大可能提高效能. 
語句在被DB的編譯器編譯後的執行程式碼被快取下來,那麼下次呼叫時只要是相同的預編譯語句就不需要編譯,只要將引數直接傳入編譯過的語句執行程式碼中(相當於一個涵數)就會得到執行.這並不是說只有一個Connection中多次執行的預編譯語句被快取,而是對於整個DB中,只要預編譯的語句語法和快取中匹配.那麼在任何時候就可以不需要再次編譯而可以直接執行.而statement的語句中,即使是相同一操作,而由於每次操作的資料不同所以使整個語句相匹配的機會極小,幾乎不太可能匹配.比如: 
insert into tb_name (col1,col2) values (‘11’,’22’); 
insert into tb_name (col1,col2) values (‘11’,’23’); 
即使是相同操作但因為資料內容不一樣,所以整個個語句本身不能匹配,沒有快取語句的意義.事實是沒有資料庫會對普通語句編譯後的執行程式碼快取.

當然並不是所以預編譯語句都一定會被快取,資料庫本身會用一種策略,比如使用頻度等因素來決定什麼時候不再快取已有的預編譯結果.以儲存有更多的空間儲存新的預編譯語句.

2.最重要的一點是極大地提高了安全性.

即使到目前為止,仍有一些人連基本的惡義SQL語法都不知道. 
String sql = “select * from tb_name where name= ‘”+varname+”’ and passwd=’”+varpasswd+”’”; 
如果我們把[’ or ‘1’ = ‘1]作為varpasswd傳入進來.使用者名稱隨意,看看會成為什麼?

select * from tb_name = ‘隨意’ and passwd = ” or ‘1’ = ‘1’; 
因為’1’=’1’肯定成立,所以可以任何通過驗證.更有甚者: 
把[‘;drop table tb_name;]作為varpasswd傳入進來,則: 
select * from tb_name = ‘隨意’ and passwd = ”;drop table tb_name;有些資料庫是不會讓你成功的,但也有很多資料庫就可以使這些語句得到執行.

而如果你使用預編譯語句.你傳入的任何內容就不會和原來的語句發生任何匹配的關係.只要全使用預編譯語句,你就用不著對傳入的資料做任何過慮.而如果使用普通的statement,有可能要對drop,;等做費盡心機的判斷和過慮.

四、總結
關於PreparedStatement介面,需要重點記住的是: 
1. PreparedStatement可以寫引數化查詢,比Statement能獲得更好的效能。 
2. 對於PreparedStatement來說,資料庫可以使用已經編譯過及定義好的執行計劃,這種預處理語句查詢比普通的查詢執行速度更快。 
3. PreparedStatement可以阻止常見的SQL注入式攻擊。 
4. PreparedStatement可以寫動態查詢語句 
5. PreparedStatement與java.sql.Connection物件是關聯的,一旦你關閉了connection,PreparedStatement也沒法使用了。 
6. “?” 叫做佔位符。 
7. PreparedStatement查詢預設返回FORWARD_ONLY的ResultSet,你只能往一個方向移動結果集的遊標。當然你還可以設定為其他型別的值如:”CONCUR_READ_ONLY”。 
8. 不支援預編譯SQL查詢的JDBC驅動,在呼叫connection.prepareStatement(sql)的時候,它不會把SQL查詢語句傳送給資料庫做預處理,而是等到執行查詢動作的時候(呼叫executeQuery()方法時)才把查詢語句傳送個數據庫,這種情況和使用Statement是一樣的。 
9. 佔位符的索引位置從1開始而不是0,如果填入0會導致java.sql.SQLException invalid column index異常。所以如果PreparedStatement有兩個佔位符,那麼第一個引數的索引時1,第二個引數的索引是2.

以上就是為什麼要使用PreparedStatement的全部理由,不過你仍然可以使用Statement物件用來做做測試。但是在生產環境下你一定要考慮使用 PreparedStatement 。

 


--------------------- 
作者:離水的魚兒 
來源:CSDN 
原文:https://blog.csdn.net/xuebing1995/article/details/72235380 
版權宣告:本文為博主原創文章,轉載請附上博文連結!

相關推薦

JDBC preparedStatementStatement

一、概念 PreparedStatement是用來執行SQL查詢語句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三種方式來執行查詢語句,其中 Statement 用於通用查詢, PreparedStatement 用於執

JDBC preparedStatementStatement區別

一、概念 PreparedStatement是用來執行SQL查詢語句的API之一,Java提供了 Statement、PreparedStatement 和 CallableStatement三種方式來執行查詢語句,其中 Statement 用於通用查詢,

JavaPreparedStatementStatement的用法區別

aik txt 實例 什麽 一點 所有 一個 drop passwd Java中PreparedStatement和Statement的用法區別 (2012-08-01 11:06:44) 轉載▼ 標簽: 雜談 1、 PreparedStatem

JDBCPreparedStatement接口提供的execute、executeQueryexecuteUpdate之間的區別及用法

ica cat nvi 一個 execute ear let ace 刪除 JDBC中PreparedStatement接口提供的execute、executeQuery和executeUpdate之間的區別及用法 (2012-08-27 09:36:18) 轉載▼

PreparedStatementStatement

dsta 關鍵字 sql註入 出現 註入 方式 開發 傳遞 緩沖 關鍵字: Statement:單次效率高 PreparedStatement:預編譯,緩沖區,?傳參,避免sql註入 JDBC驅動的最佳化是基於使用的是什麽功能. 選擇PreparedStatement還

轉載----PreparedStatementStatement的區別

應該 lec 一個 執行 但是 驗證 語句 log () 1>PreparedStatement用於處理動態SQL語句,在執行前會有一個預編譯過程,這個過程是有時間開銷的,雖然相對數據庫的操作,該時間開銷可以忽略不計,但是PreparedStatement的預編譯結

JDBC Statements, PreparedStatementCallableStatement語句

ber creates ora 學習 reg 占位符 綁定 想要 repl 當獲得了與數據庫的連接後,就可以與數據庫進行交互了。 JDBC Statement,CallableStatement和PreparedStatement接口定義了可用於發送SQL或PL/SQL命令

JDBCPreparedStatement

import org.junit.Test; import com.mysql.jdbc.Connection; import com.mysql.jdbc.PreparedStatement; import com.mysql.jdbc.ResultSet; public class Te

SQL注入,PreparedStatementStatement

程式碼區 還是一個工具類 程式碼: package cn.itcats.jdbc; import java.sql.Connection;import java.sql.DriverManager;import java.sql.ResultSet;import java.sql.SQLE

JDBCPreparedStatement用法程式碼示例

為了防止使用者使用sql語句注入攻擊資料庫,可以使用Statement介面的子介面 java.sql.PreparedStatement extends Statement 該介面表示預編譯的 SQL 語句的物件,SQL 語句被預編譯並存儲在 PreparedStateme

jdbcPreparedStatement不定引數的小技巧

      今天產品部需要幫忙弄個小專案,就只需建立一個數據表,頁面提供一些簡單的增刪改查,excel 匯出功能,由於時間緊,就不採取什麼SSH之類的重量級框架,直接用JSP+servlet+JDBC快速完成這個小專案。在查詢使用PreparedStatement時,發現如

jdbcPreparedStatement物件的幾個常用方法

很久沒有用過JDBC了,有些方法就想當然的使用了,也沒有細究,結果就是出錯出錯出錯!所以還是得看API! 不多說,羅列出PreparedStatement物件在初級開發中幾個常用的方法: 1).

JDBCPreparedStatement介面的使用

  在《java使用JDBC連線MySql資料庫》中說明了JDBC連結資料庫的基本方式,其中執行SQL語句使用的是Statement介面,這裡介紹一個更好用的介面,PreparedStantment介面。 PreparedStatement是什麼? pu

PreparedStatementStatement的區別

使用Statement的時候: Class.forName(driver); conn = DriverManager.getConnection(url, username, password); stmt = conn.createStatement();     

JDBCPreparedStatement介面的執行邏輯

PreparedStatement介面是Statement介面的子介面,其好處是建立PreparedStatement物件時直接使用Sql語句做引數,能自動解析和編譯Sql語句,省去了Sql語句拼接和編譯的麻煩,提高了安全性。一、舉個例子來說明PreparedStatemen

分別使用PreparedStatementStatement對mysql資料庫進行建立表,增加資料,查詢資料刪除資料過程

在使用eclipse工具編寫Java程式碼連線資料庫並對資料庫進行處理時,總會用到對資料的增刪改查操作。那麼這個 時候就用到了java自帶的sql庫中的PreparedStatement或者Statement了。 其實PreparedStatement和Statement使

第一篇隨記:學習WAMP最基礎的JDBC連線操作記錄( StatementPreparedStatementCallableStatement)

用Statement實現資料庫連線: <%@ page contentType="text/html" pageEncoding="UTF-8" %> <%@ page import="java.sql.*" %> <html>   <

錯誤筆記:JDBCStatementPreparedStatement對於Date型別寫入資料庫問題

今天寫JDBC使用Statement執行sql語句向oracle資料庫中插入Date型別資料時,遇到了一些問題: 首先Date類在java.util下和java.sql下都有,他們在控制檯上的答應分別是: java.util.date: java.sql.date:

jdbcStatementPreparedStatement有什麼區別?哪個效能更好?

Statement和PreparedStatement的功能主要是對sql語句的執行 區別 (1)Statement每執行一條sql語句就需要生成一條執行計劃,執行100條就需要100條執行計劃PreparedStatement在執行相同 功能的sql語句,但僅僅是引數不同

JDBCStatement介面PreparedStatement介面的差異性

Statement:用於執行SQL語句的工具介面。該物件及可以執行DDL/DCL語句,也可以用於執行DML語句,還可以用於執行SQL查詢,返回查詢到的結果集。常用方法如下:                 ResultSet executeQuery(String sql)throws SQLExceptio