1、preparedstatement是预编译的statement,从效率、数据类型等方面来看一般均应优先使用preparedstatement,而不是原始的statement。
2、HashMap用的是哈希表,适用于在Map中插入、删除和定位元素;而Treemap用的是二叉排序树,适用于按自然顺序或自定义顺序遍历键。访问方式一样
3、实现好像是语言本身的事情,使用倒简单,假定父类为A,子类为B,则向上转型为Aa=newB()向下转型为Bb=(B)a(注意强制转化是有前提的,否则运行时出错)
举例:
string strsql = “select emp_id from employee where emp_id = ?”
preparedstatement pstmt = conn.preparestatement(strsql)
pstmt.setstring(1,”pma42628m”)
解释:此时sql中的”?”的值就是”pma42628m“。
java中preparedstatement为什么可以防止sql注入
一、PreparedStatement相比于Statement,有三个优点:
一)代码的可读性和可维护性。
从代码来看,用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说,都比直接用Statement的代码高很多档次。
二)PreparedStatement尽最大可能提高性能。
每一种数据库都会尽最大努力对预编译语句提供最大的性能优化,因为预编译语句有可能被重复调用,所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个函数)就会得到执行。这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配,那么在任何时候就可以不需要再次编译而可以直接执行。而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配。比如:
insert into tb_name (col1,col2) values (’11’,’22’)
insert into tb_name (col1,col2) values (’11’,’23’)
即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义,事实是没有数据库会对普通语句编译后的执行代码缓存。
当然并不是所有预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果,以保存有更多的空间存储新的预编译语句。
用Statement对象时,每次执行一个SQL命令,都会对它进行解析编译,而PreparedStatement对象在多次执行同一个SQl语句时都只解析编译一次。PreparedStatement对象“就像一条生产线,批量生产同一型号的产品速度非常快。”这样便可极大地减少资源开销。
三)极大地提高了安全性。
传递给PreparedStatement对象的参数可以被强制进行类型转换,使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。
在公共Web站点环境下,有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序来个SQl注入,那就有麻烦。
二、例子:
两者的代码:
1)Statement代码
Statement stmt = con.createStatement()
String sql = “INSERT INTO dept VALUES (12, ‘GAME’, ‘BeiJing’)”
stmt.executeUpdate(sql)
2)PreparedStatement代码
String sql = “INSERT INTO dept VALUES ( ?, ?, ? )”
PreparedStatement pre = con.prepareStatement(sql)
pre.setInt(1, deptno) //部门编号
pre.setString(2,dname)//部门名称
pre.setString(3,location) //部门地址
pre.executeUpdate()
Statement和PreparedStatement之间的区别
其实是预编译功能,用preparedstatement就会把sql的结构给数据库预编译。
SQL注入 攻 击 是利用是指利用 设计 上的漏洞,在目 标 服 务 器上运行 Sql语 句以及 进 行其他方式的 攻 击 ,
动态 生成 Sql语 句 时 没有 对 用 户输 入的数据 进 行 验证 是 Sql注入 攻 击 得逞的主要原因。
对 于 JDBC而言, SQL注入 攻 击 只 对 Statement有效, 对 PreparedStatement 是无效的, 这 是因 为 PreparedStatement 不允 许 在不同的插入 时间 改 变查询 的 逻辑结 构。
如 验证 用 户 是否存在的 SQL语 句 为 :
select count(*) from usertable where name=’用 户 名 ‘ and pswd=’密 码 ‘
如果在 用 户 名字段 中 输 入 ‘ or ‘1’=’1′ or ‘1’=’1
或是在 密 码 字段 中 输 入 1′ or ‘1’=’1
将 绕过验证 ,但 这种 手段只 对 只 对 Statement有效, 对 PreparedStatement 无效。
PreparedStatement 相 对 Statement有以下 优 点:
1.防注入攻击
2.多次运行速度快
3.防止数据库缓冲区溢出
4.代 码 的可读性可维护性好
加油!
Statement:
Statement 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句。
PreparedStatement:
java,servlet中的PreparedStatement 接口继承了Statement,并与之在两方面有所不同:有人主张,在JDBC应用中,如果已经是稍有水平的开发者,就应该始终以PreparedStatement代替Statement. 也就是说,在任何时候都不要使用Statement。
如何选择使用:
1. 选择PreparedStatement还是Statement取决于要怎么使用它们。对于只执行一次的SQL语句选择Statement是最好的.相反,如果SQL语句被多次执行PreparedStatement是最好的。
2. PreparedStatement: 数据库会对sql语句进行预编译,下次执行相同的sql语句时,数据库端不会再进行预编译了,而直接用数据库的缓冲区,提高数据访问的效率(但尽量采用使用?号的方式传递参数),如果sql语句只执行一次,以后不再复用。
3. 从安全性上来看,PreparedStatement是通过?来传递参数的,避免了拼sql而出现sql注入的问题,所以安全性较好。在开发中,推荐使用 PreparedStatement。
以上就是关于preparedstatement用法是什么?全部的内容,如果了解更多相关内容,可以关注我们,你们的支持是我们更新的动力!
更多相关资讯
