Statement和PreStatement的区别 以及 #{}和${}的区别

原创 已于 2022-03-20 15:44:34 修改 · 1.2k 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#sql #数据库 #hive
于 2021-12-03 17:37:46 首次发布
"本文详细对比了PreparedStatement和Statement在Java JDBC中的使用,包括语法差异、执行速度、批量操作以及防止SQL注入的能力。PreparedStatement通过预编译和参数化SQL语句提高了执行效率和安全性,适合多次执行相同SQL的情况,而Statement适用于一次性执行的SQL。同时,文章还提到了#{...}

一、语法

prepareStatement在mybatis中获取的时候,就已经完成预编译,和用ParameterHandler 设置参数了,后面用它来执行sql语句,只剩执行了

预编译是需要mysql执行的,而设置参数是mybatis执行的,成型的sql语句,最后也是mysql执行的

两者的语法区别

  1. statement语法
Statement stmt = connect.createStatement();
String sql= "SELECT * FROM cg_user WHERE userId=10086 AND name LIKE 'xiaoming'";
ResultSet rs = stmt.executeUpdate(sql);
    1. preparedstatement
    PreparedStatement preparedStatement = connect.prepareStatement("SELECT * FROM cg_user WHERE userId= ? AND name LIKE ?");  
preparedStatement .setInt(1, 10086 );  
preparedStatement .setString(2, "xiaoming");  
preparedStatement .executeUpdate();

      二、访问数据库的速度

      prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。
      createStatement不会初始化,没有预处理,没次都是从0开始执行SQL

      PreparedStatement对象不仅包含了SQL语句,而且大多数情况下这个语句已经被预编译过,因而当其执行时,只需DBMS运行SQL语句,而不必先编译。当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,当然也加快了访问数据库的速度。
      这种转换也给你带来很大的便利,不必重复SQL语句的句法,而只需更改其中变量的值,便可重新执行SQL语句。选择PreparedStatement对象与否,在于相同句法的SQL语句是否执行了多次,而且两次之间的差别仅仅是变量的不同。如果仅仅执行了一次的话,它应该和普通的对象毫无差异,体现不出它预编译的优越性。

      三、prepareStatement批量执行:

      好处:Update大量的数据时, 先构建一个INSERT语句再多次的执行, 会导致很多次的网络连接.。要减少JDBC的调用次数改善性能, 可以使用PreparedStatement的AddBatch()方法一次性发送多个查询给数据库。

      // 初始实现:
PreparedStatement ps = conn.prepareStatement(
                "INSERT into db_user values (?, ?, ?)");
        for (n = 0; n < 100; n++) {
            ps.setString(name[n]);
            ps.setLong(id[n]);
            ps.setInt(salary[n]);
            ps.executeUpdate();
        }
//改进实现:
//使用Batch功能
        PreparedStatement ps = conn.prepareStatement(
                "INSERT into db_user values (?, ?, ?)");
        for (n = 0; n < 100; n++) {
            ps.setString(username[n]);
            ps.setString(password[n]);
            ps.addBatch();
        }
        ps.executeBatch();

        四、SQL注入漏洞:

        Statement stmt = connect.createStatement();
String sql= "SELECT * FROM cg_user WHERE userId"+ userId +" AND name LIKE " + name";
ResultSet rs = stmt.executeUpdate(sql);

          假如入参name的值为 or '1' = '1' 那么SQL是成立的,就会返回所有数据,或者变成这个[‘;drop table cg_user ;],那么SQL拼接后就变成:

          SELECT * FROM cg_user WHERE userId='' AND name LIKE '' ; drop table cg_user ;

            如果使用prepareStatement预编译就不会了,因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析和编译,对应的执行计划也会缓存下来,之后数据库就会以参数化的形式进行查询。set值永远是把占位符当成data处理。

            PreparedStatement preparedStatement = connect.prepareStatement("SELECT * FROM cg_user WHERE userId= ? AND name LIKE ?");  
preparedStatement .setInt(1, '');  
preparedStatement .setString(2, "; drop table cg_user");  
preparedStatement .executeUpdate();

              sql会变成:

              SELECT * FROM cg_user WHERE userId='' AND name LIKE '; drop table cg_user'  ;

                总结:

                1. JDBC驱动的最佳化是基于使用的是什么功能,选择PreparedStatement还是Statement取决于你要怎么使用它们,对于只执行一次的SQL语句选择Statement是最好的。相反,如果SQL语句被多次执行选用PreparedStatement是最好的。

                2. PreparedStatement的第一次执行消耗是很高的,它的性能体现在后面的重复执行,使用PreparedStatement的方式来执行一个针对数据库表的查询,JDBC驱动会发送一个网络请求到数据解析和优化这个查询,而执行时会产生另一个网络请求,在JDBC驱动中,减少网络通讯是最终的目的。如果我的程序在运行期间只需要一次请求, 那么就使用Statement,对于Statement,同一个查询只会产生一次网络到数据库的通讯。

                ====================================================================================================================================================================================== 自己的理解

                Statement和preStatement都是来执行,sql语句的

                区别:

                	1.preStatement会先将sql语句,预编译成SELECT ... WHERE userId= ? AND name LIKE ?");  
	  用占位符将sql填充完整,然后执行的时候用set方法填充占位符
	  预编译这一步是需要mysql执行的
	2.而statement会直接 执行原 sql语句,不会用占位符,直接将 参数 字符串拼接,然后执行
	  会导致,sql注入

                preparestatment 预编译后 用 set方法 set值 占位符位置
                statement 不进行预编译,直接字符串拼接,即 去掉 值的“”,直接拼接在 ?处,然后执行

                #{}和¥{}的区别

                	1.用${},执行sql的时候用 Statement执行的,直接将参数拼接到 sql后面
	  并且 ${} 传来的值会去掉""直接接按${} 的位置 覆盖${}
	  例如select * from table where id = ${},这时候传一个字符串“3or2==2”
	  这时候sql变成,select * from table where id = 3or2==2,这时候or ===2必定执行
	  
	2.用#{},执行sql用PreStatement执行,先预编译sql
		select * from table where id = #{}为
		select * from table where id = ?
	  然后ps set参数,变为select * from table where id = "3or 2=2"
	  #{}传来的值会 用set值的方式,将?set成传来的参数

                ${} 的使用场景就是,拼接sql字符串而不是 set值,即 from table , order by 字段,select 字段,这些需要拼接字符串的 就用 ${} ,这时 如果用 #{} , 那么 会导致例如from “student” , 这样的sql执行不了

                Chen4852010
                关注
                prepareStatementStatement区别
                09-23
                prepareStatementStatement区别
                Prestatement的增、删、改、查
                better_boy的博客
                05-07 1014
                Prestatement的增、删、改、查 前言: ​ Statement的弊端:需要拼串sql语句,并存在sql注入问题 ​ Prestatement相较于Statement的优点在于可防止SQL注入。 目录结构 1.配置 1.1连接数据库的配置文件 jdbc.properties user=root password=shan5211314.. DB_URL=jdbc:mysql://localhost:3306/test JDBC_DRIVER=com.mysql.jdbc.Driver 1.2 操
                【MyBatis 6,springcloud从入门到精通教程
                m0_61439678的博客
                09-06 415
                (1)ResultSet getResultSet() 以 ResultSet 对象的形式获取当前结果 (2)int getUpdateCount() 以更新计数的形式获取当前结果;如果结果为 ResultSet 对象或没有更多结果,则返回 -1 (3)boolean getMoreResults() 移动到此 Statement 对象的下一个结果,如果其为 ResultSet 对象,则返回 true,并隐式关闭利用方法 getResultSet 获取的所有当前 ResultSet 对象 (4)boolea
                statementprepareStatement区别
                热门推荐
                HaC 的博客
                09-16 1万+
                一、语法 两者的语法区别 statement语法 Statement stmt = connect.createStatement(); String sql= "SELECT * FROM cg_user WHERE userId=10086 AND name LIKE 'xiaoming'"; ResultSet rs = stmt.executeUpdate(sql); prepar...
                PrepareStatementStatement区别
                dulalarepost的博客
                08-25 5308
                PrepareStatementStatement区别 PrepareStatement继承与Statement,包含execute()、 executeQuery() executeUpdate()三种方法 1.PrepareStatement实例包含已经编译的SQL语句,会将SQL语句进行预编译,所以执行速度 比Statement高。 prepareStatment事先对语句进行预处理...
                MyBatis动态传入表名,字段名参数的解决办法---statementType用法
                u010277958的博客
                04-12 1052
                statementType="STATEMENT" 要实现动态传入表名、列名,需要做如下修改 添加属性statementType="STATEMENT" 同时sql里的属有变量取值都改成${xxxx},而不是#{xxx} <delete id="deleteTableData" parameterType="java.util.Map" statementType="STATEMEN...
                MyBatis的sql动态传入表名字段名,并判断是否为空
                YAn_2018的博客
                01-22 3190
                id:方法名 parameterType:入参类型 resultType:返回类型,默认map statementType:预编译,还是非预编译 预编译:PRESTATEMENT,在系统初始化时就会读取这段sql代码,在系统运行时替换掉其中的变量。 非预编译:STATEMENT,在系统初始化时不会读取这段sql代码,只有系统运行时替换掉其中的变量。 动态传入字段名:使用#{}传递, select...
                mybatis获取表名_MyBatis构建sql时动态传入表名以及字段名
                weixin_34916118的博客
                12-28 1017
                用了mybatis很长一段时间了,但是感觉用的都是比较基本的功能,很多mybatis相对ibatis的新功能都没怎么用过。比如其内置的注解功能之类的。这次遇到了一个问题,每次我们在配置mybaits时,需要在mapping.sql.xml文件中写对应的执行sql脚本。这时我们一般会先定义实体类来作为sql的返回类型或者执行sql的参数类型。比如如下代码resultType="ApplyStatus...
                mybatis动态查询不确定的表
                随笔
                10-30 7281
                以前都是指定了实体类,然后写好sql语句直接套用就可以了。但是现在有个问题,万一你的物理模型不确定,也即是你的表结构不确定,甚至连表名字都不确定该怎么办呢?我这次遇到了这个问题。我们有个需求,事先定义好了很多数据集的信息模型,针对这些信息模型生成物理模型。而我们需要针对这些物理模型进行操作。而这些数据集一旦更新,信息模型以及物理模型都要变动,所以事先不可能完全确定物理表结构等等信息。此时应该怎么在
                PrepareStatementStatement的对比
                数据与算法架构提升之路专栏
                12-30 1694
                PrepareStatementStatement的对比
                StatementPrepareStatement有什么区别
                chenling_ling的专栏
                08-11 656
                Statement用于执行静态sql语句,在执行时,必须指定一个事先准备好的sql语句。 PrepareStatement是预编译的sql语句对象,sql语句被预编译并保存在对象中。被封装的sql语句代表某一类操作,语句中可以包含动态参数“?”,在执行时可以为“?”动态设置参数值。 使用PrepareStatement对象执行sql时,sql数据库进行解析编译,然后被放到命令缓冲区,每当执
                JAVA集锦(四)--PrepareStatementStatement区别
                思想上移,行动下移
                08-28 786
                preparestatement继承于statement,由此我们可以得到初步结论:preparestatementstatement的基础上进一 步实现了自己特有的一些方法属性,preparestatement是对statement的扩展优化。   1.可读性可维护性           Statement用于执行静态sql语句,在执行时必须指定一个事先准备好的sql语句。执行
                StatementPrepareStatement区别
                qq_55018589的博客
                04-16 1099
                1.Statement PreparedStatement之间的关系区别. 关系:PreparedStatement继承自Statement,都是接口 区别:PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高 SQL 语句被预编译并存储在 PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。 就比如说 String sql="select * from user where us...
                关于StatementPrestatement区别
                qq_47938856的博客
                09-19 1146
                Statement 是java.sql包下的一个接口,想必在学习过jdbc的同学们就对这个接口有一定的印象,Statement接口下有很多方法是对sql语句处理的,例如executeQuery(“sql语句”)方法 //3,创建数据库对象 Statement stmt=con.createStatement(); //4,对数据库进行操作 String sql="select * from dept"; ResultSe..
                PrepareStatementStatement的联系区别
                chris__x的博客
                06-15 1094
                联系:PrepareStatement继承自Statement,两者都是接口,内部都要建立Socket连接,效率都不是很高。 区别主要有以下几点 1、性能方面 PreparedStatement有预编译的过程,已经绑定sq|,之后无论执行多少遍,都不会再去进行编译。而statement不同,如果执行多少遍,则相应的就要编译多少遍sql,所以preStatement的效率比Statement要高一些 Statement statement = conn.createStatement(); PreparedS
                StatementPrepareStatement区别详解
                shang_bo_liang的博客
                05-07 882
                1.PreparedStatement继承自Statement,两者都是接口。 2.内部都要建立类似于Sockt连接,效率都不是特别高。 从资源利用安全的角度区分两者的不同: 关于批处理时如何选择,以数据量大小位标准分三种情况: 1)量比较小,二者皆差别不大。 2)量比较多,在PreparedStatement预编译空间范围之内,选择PreparedStatement,因为其只预编译一...
                PrepareStatementStatement区别
                qq30211478的博客
                08-02 468
                (一)Statement接口:用于执行静态 SQL 语句并返回它所生成结果的对象,在默认情况下,同一时间每个 Statement 对象在只能打开一个 ResultSet 对象。因此,如果读取一个 ResultSet 对象与读取另一个交叉,则这两个对象必须是由不同的 Statement 对象生成的。如果存在某个语句的打开的当前 ResultSet 对象,则 Statement 接口中的所有执行方法都...
                PreparedStatement的用法
                凯尔探索
                12-09 1925
                jdbc(java database connectivity,java数据库连接)的api中的主要的四个类之一的java.sql.statement要求开发者付出大量的时间精力。在使用statement获取jdbc访问时所具有的一个共通的问题是输入适当格式的日期时间戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。 通过使用java.sql.prepare
                评论
                添加红包

                请填写红包祝福语或标题

                红包个数最小为10个

                红包金额最低5元

                当前余额3.43前往充值 >
                需支付:10.00
                成就一亿技术人!
                领取后你会自动成为博主和红包主的粉丝 规则
                hope_wisdom
                发出的红包
                实付
                使用余额支付
                点击重新获取
                扫码支付
                钱包余额 0

                抵扣说明:

                1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
                2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

                余额充值