PreparedStatement是一个用于运行sql语句的标准接口的对象。它是继承与Statement。依据里氏代换原则。用Statement运行的语句,一定能够用Prepared替换了。那么他们之间有什么不同呢。

PreparedStatement

  • 使用參数化的方式,能够用?表明变量的值位置,运行时依据位置提供变量的值。
  • 该对象是预编译的,多次运行的效率高
  • 安全性方面,高于Statement。

Statement

  • 运行没有參数,能够动态的运行sql
  • 没有预编译,每次都是运行。多次运行的效率低

以上是他们各自的特点。各自具有长处同一时候也具有自身的缺点。所以我们应依据不同的场合详细使用,不能说谁的长处多就使用谁,详细情况应该详细分析。比如,一个组合的sql,sql是动态的,因为Statement本身具有动态的运行sql特点,若安全性不高,首先考虑它还是非常好的选择。

以下我们就做个对照 依据id查询

Statement写法

stringsql ="select * from people p where p.i = "+id;

PreparedStatement写法

stringsql ="select * from people p where p.id = ? ";

preparedstatement ps= connection.preparestatement(sql);

这个写法非常熟悉,在.NET中是常见的。所以并没有学习什么新奇的东西。

以上两种写法是截然不同的。记得在vb中我经常使用的是statment的写法,那么还不知道什么是sql注入,等师父验收的使用,不费吹灰之力就进入了我的系统。而假设使用PreparedStatement就不存在这样的方式。验证例如以下

String sql ="select * from tb_name where name= '"+varname+"' andpasswd='"+varpasswd+"'";

select* from tb_name = '任意' and passwd = '' or '1' = '1';

由于'1'='1'肯定成立,所以能够不论什么通过验证。甚至知道表明就能够删除里面的全部数据了。

当然了这是statement的缺点。而假设你使用预编译语句.你传入的不论什么内容就不会和原来的语句发生不论什么匹配的关系.仅仅要全使用预编译语句,你就用不着对传入的数据做不论什么过虑.而假设使用普通的statement,有可能要对drop,;等做费尽心机的推断和过虑.

怎样使用PreparedStatement

1引入特定包

importjava.sql.PreparedStatement;

importjava.sql.ResultSet;

2实例化PreparedStatement和结果集

PreparedStatementprepstmt = null;

ResultSetrs = null;

3得到sql语句

conn 为Connection类型

prepstmt= conn.prepareStatement(String StrSQl);

4运行sql,得到结果集

rs 为ResultSet类型。

rs= prepstmt.executeQuery();

一个完整的事例

importjava.sql.Connection;

importjava.sql.PreparedStatement;//

import java.sql.ResultSet;//结果集包

importjava.sql.SQLException;

importjava.sql.Statement;

importjava.sql.Timestamp;

importjava.util.ArrayList;

importjava.util.Date;

importjava.util.List;

importcom.bjpower.drp.sysmgr.domain.User;

importcom.bjpower.drp.util.DbUtil;

importcom.bjpower.drp.util.PageModel;

/**

 * 依据用户代码查询用户

 * @param userId

 * @return

 * @throws SQLException

 */

publicUser findUserById(String userId) throws Exception {

StringBuffersql= new StringBuffer();

sql.append("selectuser_id, user_name, password, contact_tel, email, create_date from t_user  where user_id= ?");

Connection conn=null;//连接

PreparedStatement pstmt=null;//实例化PreparedStatement

ResultSet rs= null;//实例化结果集,存放PreparedStatement查询的结果

User user=null;//返回的User实体对象

try{

conn= DbUtil.getconnection();//创建数据库连接

pstmt=conn.prepareStatement(sql.toString());//得到sql语句

pstmt.setString(1, userId);//传入參数

rs=pstmt.executeQuery();//运行sql语句,得到结果集

//User对象得到结果集中的值

if(rs.next()){

user=newUser();

user.setUserId(rs.getString("user_id"));

user.setUserName(rs.getString("user_name"));

user.setPassword(rs.getString("password"));

user.setContactTel(rs.getString("contact_tel"));

user.setEmail(rs.getString("email"));

user.setCreateDate(rs.getTimestamp("create_date"));

}

}catch(SQLExceptione){

e.printStackTrace();

}finally{

//关闭连接

DbUtil.close(rs);

DbUtil.close(pstmt);

DbUtil.close(conn);

}

returnuser;

}

小结

以上是PreparedStatement的基本使用。非常向自己在.net中编写的sql和Parameter的结合体。知识都是类似的,这次并没什么新东西。回想对照下,仅仅是多了几个包的引用。继续加油了。

Java PreparedStatement的更多相关文章

  1. 用java PreparedStatement就不用担心sql注入了吗?

    先感慨下,好久没写博客了,一是工作太忙,二是身体不太给力,好在终于查清病因了,趁着今天闲下来,迫不及待与读者交流,最后忠告一句:身体是活着的本钱! 言归正传,对java有了解的同学基本上都体验过JDB ...

  2. 【JDBC】java PreparedStatement操作oracle数据库

    ************************************************************************ ****原文:blog.csdn.net/clark_ ...

  3. java PreparedStatement和statement的区别

    1. PreparedStatement接口继承Statement, PreparedStatement 实例包含已编译的 SQL 语句,所以其执行速度要快于 Statement 对象.2.作为 St ...

  4. Java SQL注入学习笔记

    1 简介 文章主要内容包括: Java 持久层技术/框架简单介绍 不同场景/框架下易导致 SQL 注入的写法 如何避免和修复 SQL 注入 2 JDBC 介绍 JDBC: 全称 Java Databa ...

  5. 浅析Statement和PreparedStatement的区别

    当我们使用java程序来操作sql server时会使用到Statement和PreparedStatement,俩者都可以用于把sql语句从java程序中发送到指定数据库,并执行sql语句.那么如何 ...

  6. SQL注入的原理与预防

    1. 什么是SQL注入? SQL注入是常见的网络攻击方式之一,通过SQL语句实现无账号登录,非法获取甚至篡改数据库中的数据. 2. SQL注入的思路 (1)找到SQL注入位置: (2)判断服务器类型和 ...

  7. Spark案例分析

    一.需求:计算网页访问量前三名 import org.apache.spark.rdd.RDD import org.apache.spark.{SparkConf, SparkContext} /* ...

  8. Java中PreparedStatement与Statement的总结

    概要: PreparedStatement 接口继承自 Statement 接口,PreparedStatement 比普通Statement 对象使用起来更加灵活,更有效率. 一.PreparedS ...

  9. Type mismatch: cannot convert from java.sql.PreparedStatement to com.mysql.jdbc.PreparedStatement

    Connection.prepareStatement()函数出错,提示: Type mismatch: cannot convert from java.sql.PreparedStatement ...

随机推荐

  1. PHP学习之-1.1 PHP 可以做什么?

    PHP 可以做什么? 为什么要学习PHP,"我可以用javascript来实现程序的编写."但是javascript的能力是有限的,javascript通常运行在浏览器(客户端), ...

  2. 基于visual Studio2013解决C语言竞赛题之1070删除相同节点

        题目 解决代码及点评 /************************************************************************/ /* ...

  3. 计算机内存碎片(中)——外部碎片化(内存 & 文件系统 & 数据库系统通杀)

    本文原创为freas_1990,转载请标明出处:http://blog.csdn.net/freas_1990/article/details/17252221 外部碎片化 当计算机内存被划分成很细碎 ...

  4. python 在 eclipse 上的编码配置问题

    Eclipse的设置 window->preferences->general->editors->text editors->spelling->encoding ...

  5. JavaScript(一基本语法)

    本篇博客是对js的一个基本的了解,对于没有js基础的同学来说应该是个入门的基本吧 javascript 是原型化继承来的面向对象的动态类型的区分大小写的客户端的脚本语言.主要目的是为了解决服务器语言, ...

  6. C++中出现的计算机术语1

    access labels(訪问标号) 类的成员能够定义为 private,这能够防止使用该类型的代码訪问该成员. 成员还能够定义为 public,这将使该整个程序中都可訪问成员.  address( ...

  7. JAVA的反射机制学习笔记(二)

    上次写JAVA的反射机制学习笔记(一)的时候,还是7月22号,这些天就瞎忙活了.自己的步伐全然被打乱了~不能继续被动下去.得又一次找到自己的节奏. 4.获取类的Constructor 通过反射机制得到 ...

  8. R语言与数据分析之六:时间序列简介

    今年在某服装企业蹲点了4个多月,之间非常长一段时间在探索其现货和期货预測.时间序列也是做销售预測的首选,今天和小伙伴分享下时间序列的基本性质和怎样用R来挖据时间序列的相关属性. 首先读入一个时间序列: ...

  9. Swift - 使用EventKit获取系统日历事件,添加事件

    通过EventKit可以对iOS日历事件进行读取,添加等操作.但网上找到的都是使用Objective-C来编写的. 下面提供一个Swift版的样例,演示如何添加一个事件以及获取所有的事件列表. 1 2 ...

  10. 阅读代码分析工具Understand 2.0试用

    Understand 2.0是一款源码阅读分析软件,功能强大.试用过一段时间后,感觉相当不错,确实能够大大提高代码阅读效率. 因为Understand功能十分强大,本文不可能详尽地介绍它的全部功能,所 ...