首页 > 数据库技术 > 详细

preparestatement和statement的区别&&简单的SQL注入

时间:2019-05-21 23:53:47      阅读:191      评论:0      收藏:0      [点我收藏+]

在JDBC应用中,强烈建议使用PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement.

原因如下:

一.代码的可读性和可维护性.

var1 = "kia";
var2 = "10086"
statment需要动态拼接SQL语句
statment.executeUpdate("insert sysuser (uname,uphone) values (‘\"+var1+\"‘,‘\"+var2+\"‘)");
perparedstatment需要使用 ? 占位符
perparedstatment=conn.prepareStatement("insert sysuser (uname,uphone) values (?,?) ");
perparedstatment.setString(1,var1);
perparedstatment.setString(2,var2);
perstmt.executeUpdate();

 

PreparedStatement需要编译后的执行时再传入参数
==>  Preparing: insert sysuser (uname,uphone) values (?,?) 
==> Parameters: kia(String), 10086(String)
Statement需要编译时直接传入参数
==>  Preparing: insert sysuser (uname,uphone) values (‘kia‘,‘10086‘) 
==> Parameters: 

虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高

二.PreparedStatement尽最大可能提高性能.

每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被JDBC的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个JDBC中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.

而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:
  insertintotb_name(col1,col2)values(‘11‘,‘22‘);
  insertintotb_name(col1,col2)values(‘11‘,‘23‘);
即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.
当然并不是所有预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.

每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:
  insertintotb_name(col1,col2)values(‘11‘,‘22‘);
  insertintotb_name(col1,col2)values(‘11‘,‘23‘);
  即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.
  当然并不是所有预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.

三.最重要的一点是极大地提高了安全性.可以预防SQL注入

SQL中单行注释 : -- 

例如:

正常的delete语句 :delete from sysuser WHERE uid = ‘2‘ 

恶意delete语句 : delete from sysuser WHERE uid = ‘ 前端传入的值 ‘

前端传入的值为:2 ‘ OR 1 = 1 -- ;此时的SQL语句为  delete from sysuser WHERE uid = ‘ 2 ‘ OR 1 = 1 --  ‘

由于--单行注释的存在,--  ‘  被注释掉了;真正执行的SQL语句为 delete from sysuser WHERE uid = ‘ 2 ‘ OR 1 = 1,会将所有的数据库表中的数据全部删除

而使用预编译语句,最多最后写入数据库的值变为  2 ‘ OR 1 = 1 --

preparestatement和statement的区别&&简单的SQL注入

原文:https://www.cnblogs.com/klory/p/10903086.html

(0)
(0)
   
举报
评论 一句话评论(0
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!