如何使用 PreparedStatement 来避免 SQL 注入，并提高性能？

前言

本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入，并提高性能？

欢迎点赞 收藏 留言评论 私信必回哟

博主将持续更新学习记录收获，友友们有任何问题可以在评论区留言

---

@

目录

• 一，什么是 PreparedStatement ？
• 二，为什么要使用PreparedStatement ？
  • 1，通过PreparedStatement提升性能
  • 2、通过PreparedStatement防止SQL Injection(注入)
• 三，Statement和PreparedStatement的区别

一，什么是 PreparedStatement ？

  preparedStatement是一种预编译的SQL语句，它可以在执行时 动态地设置参数，从而提高SQL语句的执行效率和安全性。与普通的SQL语句不同，preparedStatement在执行前已经被编译成二进制代码，因此可以避免SQL注入攻击。

---

在Java中，使用preparedStatement可以通过以下步骤实现：

1. 创建Connection对象，连接到数据库。

2. 使用Connection对象创建preparedStatement对象，预编译SQL语句。

3. 设置SQL语句中的参数。

4. 执行SQL语句，获取结果集。

5. 处理结果集，关闭连接。

---

例如：

以下代码演示关键部分代码如何使用 preparedStatement 查询 数据库中的用户信息：

//编写sql语句
String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
//根据连接字符串连接数据库
Connection conn = DriverManager.getConnection(url, username, password);
//创建PreparedStatement 对象
PreparedStatement pstmt = conn.prepareStatement(sql);
//传入参数
pstmt.setString(1, "john");
pstmt.setString(2, "password123");
//执行方式
ResultSet rs = pstmt.executeQuery();
while (rs.next()) {
 String username = rs.getString("username");
 String password = rs.getString("password");
    // 处理结果集 } rs.close(); pstmt.close(); conn.close();
}
//释放资源
rs.close();
pstmt.close();
conn.close();

---

二，为什么要使用PreparedStatement ？

  使用 PreparedStatement 时，不需要拼接 SQL 语句，因此可以避免因字符串拼接而产生的 SQL 注入问题。Prepared Statement 可以对参数进行转义，从而避免输入的参数导致的 SQL 异常。Prepared Statement 可以预编译 SQL 语句，并将编译后的语句保存到数据库服务器的缓存中，因此在执行多次相同的 SQL 语句时，可以大幅提高性能。

---

1，通过PreparedStatement提升性能

  Statement主要用于执行静态SQL语句，即内容固定不变的SQL语句。Statement每执行一次都要对传入的SQL语句编译一次，效率较差。

  某些情况下，SQL语句只是其中的参数有所不同，其余子句完全相同，适用于PreparedStatement。PreparedStatement的另外一个好处就是预防sql注入攻击

  PreparedStatement是接口，继承自Statement接口。

  使用PreparedStatement时，SQL语句已提前编译，三种常用方法 execute、 executeQuery 和 executeUpdate 已被更改，以使之不再需要参数。

  PreparedStatement 实例包含已事先编译的 SQL 语句，SQL 语句可有一个或多个 IN 参数，IN参数的值在 SQL 语句创建时未被指定。该语句为每个 IN 参数保留一个问号（“？”）作为占位符。

  每个问号的值必须在该语句执行之前，通过适当的setInt或者setString 等方法提供。

  由于 PreparedStatement 对象已预编译过，所以其执行速度要快于 Statement 对象。因此，多次执行的 SQL 语句经常创建为 PreparedStatement 对象，以提高效率。

通常批量处理时使用PreparedStatement。

---

做一个小实验：分别向数据库插入1000条记录。分别记录执行时间，然后进行比较。

使用Statement的执行效率 insert User_1表

/**
* // 使用Statement的 执行效率
* @throws Exception
*/
@Test
public void test1() throws Exception{
  //c3p0 的数据源
   ComboPooledDataSource dataSource = new ComboPooledDataSource();
   Connection conn = dataSource.getConnection();
   Statement state = conn.createStatement();
   long time1 = System.nanoTime();//获取纳秒级时间
   for (int i = 0; i < 3000; i++) {
        String sql = String.format("insert into user_1 values(%s,'%s',%s)",
               i,"Test",20);
        state.executeUpdate(sql);
   }
   System.out.println("插入完毕");
   long time2 = System.nanoTime();//获取纳秒级时间
   System.out.println("耗费时长："+(time2-time1));
   conn.close();
   state.close();
}

测试数据

---

使用预编译PreparedStatement SQL提高执行效率 insert User_2表

/**
* 使用预编译PreparedStatement SQL提高执行效率
*/
@Test
public void test2() throws Exception{
    ComboPooledDataSource dataSource = new ComboPooledDataSource();
    Connection conn = dataSource.getConnection();
    String sql = "insert into user_2 values(?,?,?)";
    PreparedStatement preparedStatement = conn.prepareStatement(sql);
    long time1 = System.nanoTime();//获取纳秒级时间
    for (int i = 0; i < 3000; i++) {
        preparedStatement.setInt(1,i);
        preparedStatement.setString(2,"Test");
        preparedStatement.setInt(3,20);
        preparedStatement.execute();
}
    System.out.println("插入完毕");
    long time2 = System.nanoTime();//获取纳秒级时间
    System.out.println("耗费时长："+(time2-time1));
    conn.close();
}

测试数据

---

2、通过PreparedStatement防止SQL Injection(注入)

  对JDBC而言，SQL注入攻击只对Statement有效，对PreparedStatement无效，因为PreparedStatement不允许在插入参数时改变SQL语句的逻辑结构。

使用预编译的语句对象时，用户传入的任何数据不会和原SQL语句发生匹配关系，无需对输入的数据做过滤。如果用户将 ”or 1 = 1” 传入赋值给占位符，

下述SQL语句将无法执行：

 select * from t where username = ? and password = ?;

  PreparedStatement是Statement的子类，表示预编译的SQL语句的对象。在使用PreparedStatement对象执行SQL命令时，命令被数据库编译和解析，并放入命令 缓冲区。缓冲区中的预编译SQL命令可以重复使用。

---

三，Statement和PreparedStatement的区别

1、PreparedStatement可以使用占位符，是预编译的，批处理比Statement效率高

2、使用 Statement 对象。在对数据库只执行一次性存取的时侯，用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大，对于一次性操作并不会带来额外的好处。

3、statement每次执行sql语句，相关数据库都要执行sql语句的编译，preparedstatement预编译得, preparedstatement支持批处理 。

4、执行许多SQL语句的JDBC程序产生大量的Statement和PreparedStatement对象。通常认为PreparedStatement对象比Statement对象更有效,特别是如果带有不同参数的同一SQL语句被多次执行的时候。PreparedStatement对象允许数据库预编译SQL语句，这样在随后的运行中可以节省时间并增加代码的可读性。（使用PrepareStatement对象执行sql时，sql被数据库进行解析和编译，然后被放到命令缓冲区，每当执行同一个PrepareStatement对象时，它就会被解析一次，但不会被再次编译。在缓冲区可以发现预编译的命令，并且可以重用）

5、 PreparedStatement 可以规避 Statement弊端：①拼串 ②sql注入问题

6、PreparedStatement 可以实现操作Blob类型、Clob类型的数据

联系：

1、PreparedStatement继承自Statement

2、PrerapedStatement和Statement都是接口

3、PreParedStatement和Statement都可以实现对数据表的CRUD操作：增删改查

---

最后

总结不易，希望uu们不要吝啬你们的哟(＾Ｕ＾)ノ~ＹＯ！！

如有问题，欢迎评论区批评指正