美文网首页
JDBC使用PreparedStatement的好处

JDBC使用PreparedStatement的好处

作者: 田真的架构人生 | 来源:发表于2017-08-09 09:48 被阅读0次

    我们为什么在程序中要使用PreparedStatement而不是Statement?有以下几个原因。
    1,从程序本身的角度来看,PreparedStatement更具效率。
    我们通过connection.preparedStatement(sql)方法来获得PreparedStatment对象,然后通过preStatement.setXXX来设置查询参数。

    如果我有2个查询,SQL语句都一样,但是参数不同,使用PreparedStatment的话只需setXXX不同的参数、再次查询即可,而如果使用Statement的话,
    需要重新创建Statement对象,connection.createStatement(sql)

    2,从数据库层面来讲,PreparedStatment更具效率。
    在使用PreparedStatement时,数据库系统会对sql语句进行预编译处理(前提是JDBC驱动支持),具体包括SQL语句的分析,编译,优化等过程,预编译后会缓存起来,执行计划同样也会缓存起来,编译的sql查询语句能在将来的查询中重用(同样的查询,哪怕参数值不同)。

    需要注意的是,使用PreparedStatement时,SQL不要用String追加参数值,而应该使用preStatement.setXXX来设置查询参数。

    3,PreparedStatment可以防止SQL注入。
    如:

    String sql = "SELECT * FROM user WHERE name = '" + userName + "' and password = '"+ passWord +"';"
    

    恶意输入参数值:userName = "1' OR '1'='1"; passWord = "1' OR '1'='1";
    最终sql会变成:

    String sql = "SELECT * FROM user WHERE name = '1' OR '1'='1' and password = '1' OR '1'='1';"
    

    这条语句相当于select * from user。
    如果用户再加上drop table user,后果将不堪设想。
    所以使用PreparedStatement能避免此种情况,因为数据库系统不会将参数的内容视为SQL指令的一部分来处理,只有在数据库完成SQL指令的编译后,才套用参数运行。因此就算参数中含有破坏性的指令,也不会被数据库所运行。

    相关文章

      网友评论

          本文标题:JDBC使用PreparedStatement的好处

          本文链接:https://www.haomeiwen.com/subject/uejfrxtx.html