✨前言✨
本篇文章主要如何使用 PreparedStatement 来避免 SQL 注入,并提高性能?
🍒欢迎点赞 👍 收藏 ⭐留言评论 📝私信必回哟😁
🍒博主将持续更新学习记录收获,友友们有任何问题可以在评论区留言
📍文章目录📍
🍎一,什么是 PreparedStatement ?
preparedStatement是一种预编译的SQL语句,它可以在执行时 动态地设置参数,从而提高SQL语句的执行效率和安全性。与普通的SQL语句不同,preparedStatement在执行前已经被编译成二进制代码,因此可以避免SQL注入攻击。
在Java中,使用preparedStatement可以通过以下步骤实现:
-
创建Connection对象,连接到数据库。
-
使用Connection对象创建preparedStatement对象,预编译SQL语句。
-
设置SQL语句中的参数。
-
执行SQL语句,获取结果集。
-
处理结果集,关闭连接。
例如:
以下代码演示关键部分代码如何使用 preparedStatement 查询 数据库中的用户信息:
//编写sql语句
String sql = "SELECT * FROM users WHERE username = ? AND password = ?";
//根据连接字符串连接数据库
Connection conn = DriverManager.getConnection(url, username, password);
//创建PreparedStatement 对象
PreparedStatement pstmt = conn.prepareStatement(sql);
//传入参数
pstmt.setString(1, "john");
pstmt.setString(2, "password123");
//执行方式
ResultSet rs = pstmt.executeQuery();
while (rs.next()) {
String username = rs.getString("username");
String password = rs.getString("password");
// 处理结果集 } rs.close(); pstmt.close(); conn.close();
}
//释放资源
rs.close();
pstmt.close();
conn.close();
🍎二,为什么要使用PreparedStatement ?
使用 PreparedStatement 时,不需要拼接 SQL 语句,因此可以避免因字符串拼接而产生的 SQL 注入问题。Prepared Statement 可以对参数进行转义,从而避免输入的参数导致的 SQL 异常。Prepared Statement 可以预编译 SQL 语句,并将编译后的语句保存到数据库服务器的缓存中,因此在执行多次相同的 SQL 语句时,可以大幅提高性能。
1,通过PreparedStatement提升性能
Statement主要用于执行静态SQL语句,即内容固定不变的SQL语句。Statement每执行一次都要对传入的SQL语句编译一次,效率较差。
某些情况下,SQL语句只是其中的参数有所不同,其余子句完全相同,适用于PreparedStatement。PreparedStatement的另外一个好处就是预防sql注入攻击
PreparedStatement是接口,继承自Statement接口。
使用PreparedStatement时,SQL语句已提前编译,三种常用方法 execute、 executeQuery 和 executeUpdate 已被更改,以使之不再需要参数。
PreparedStatement 实例包含已事先编译的 SQL 语句,SQL 语句可有一个或多个 IN 参数,IN参数的值在 SQL 语句创建时未被指定。该语句为每个 IN 参数保留一个问号(“?”)作为占位符。
每个问号的值必须在该语句执行之前,通过适当的setInt或者setString 等方法提供。
由于 PreparedStatement 对象已预编译过,所以其执行速度要快于 Statement 对象。因此,多次执行的 SQL 语句经常创建为 PreparedStatement 对象,以提高效率。
通常批量处理时使用PreparedStatement。
做一个小实验:分别向数据库插入1000条记录。分别记录执行时间,然后进行比较。
使用Statement的执行效率 insert User_1表
/**
* // 使用Statement的 执行效率
* @throws Exception
*/
@Test
public void test1() throws Exception{
//c3p0 的数据源
ComboPooledDataSource dataSource = new ComboPooledDataSource();
Connection conn = dataSource.getConnection();
Statement state = conn.createStatement();
long time1 = System.nanoTime();//获取纳秒级时间
for (int i = 0; i < 3000; i++) {
String sql = String.format("insert into user_1 values(%s,'%s',%s)",
i,"Test",20);
state.executeUpdate(sql);
}
System.out.println("插入完毕");
long time2 = System.nanoTime();//获取纳秒级时间
System.out.println("耗费时长:"+(time2-time1));
conn.close();
state.close();
}
测试数据
使用预编译PreparedStatement SQL提高执行效率 insert User_2表
/**
* 使用预编译PreparedStatement SQL提高执行效率
*/
@Test
public void test2() throws Exception{
ComboPooledDataSource dataSource = new ComboPooledDataSource();
Connection conn = dataSource.getConnection();
String sql = "insert into user_2 values(?,?,?)";
PreparedStatement preparedStatement = conn.prepareStatement(sql);
long time1 = System.nanoTime();//获取纳秒级时间
for (int i = 0; i < 3000; i++) {
preparedStatement.setInt(1,i);
preparedStatement.setString(2,"Test");
preparedStatement.setInt(3,20);
preparedStatement.execute();
}
System.out.println("插入完毕");
long time2 = System.nanoTime();//获取纳秒级时间
System.out.println("耗费时长:"+(time2-time1));
conn.close();
}
测试数据
2、通过PreparedStatement防止SQL Injection(注入)
对JDBC而言,SQL注入攻击只对Statement有效,对PreparedStatement无效,因为PreparedStatement不允许在插入参数时改变SQL语句的逻辑结构。
使用预编译的语句对象时,用户传入的任何数据不会和原SQL语句发生匹配关系,无需对输入的数据做过滤。如果用户将 ”or 1 = 1” 传入赋值给占位符,
下述SQL语句将无法执行:
select * from t where username = ? and password = ?;
PreparedStatement是Statement的子类,表示预编译的SQL语句的对象。在使用PreparedStatement对象执行SQL命令时,命令被数据库编译和解析,并放入命令 缓冲区。缓冲区中的预编译SQL命令可以重复使用。
🍎三,Statement和PreparedStatement的区别
1、PreparedStatement可以使用占位符,是预编译的,批处理比Statement效率高
2、使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。
3、statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement预编译得, preparedstatement支持批处理 。
4、执行许多SQL语句的JDBC程序产生大量的Statement和PreparedStatement对象。通常认为PreparedStatement对象比Statement对象更有效,特别是如果带有不同参数的同一SQL语句被多次执行的时候。PreparedStatement对象允许数据库预编译SQL语句,这样在随后的运行中可以节省时间并增加代码的可读性。(使用PrepareStatement对象执行sql时,sql被数据库进行解析和编译,然后被放到命令缓冲区,每当执行同一个PrepareStatement对象时,它就会被解析一次,但不会被再次编译。在缓冲区可以发现预编译的命令,并且可以重用)
5、 PreparedStatement 可以规避 Statement弊端:①拼串 ②sql注入问题
6、PreparedStatement 可以实现操作Blob类型、Clob类型的数据
联系:
1、PreparedStatement继承自Statement
2、PrerapedStatement和Statement都是接口
3、PreParedStatement和Statement都可以实现对数据表的CRUD操作:增删改查
✨最后✨
总结不易,希望uu们不要吝啬你们的👍哟(^U^)ノ~YO!!
如有问题,欢迎评论区批评指正😁
