Statement 和 PreparedStatement之间的区别
1.在对数据库只执行一次性存取的时侯,用Statement对象进行处理。
2.PreparedStatement是预编译的,对于批量处理可以大大提高效率,也叫JDBC存储过程。
3.在执行SQL命令时,我们有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。无论多少次地使用同一个SQL命令,PreparedStatement都只对它解析和编译一次。当使用Statement对象时,每次执行一个SQL命令时,都会对它进行解析和编译。
使用 PreparedStatement 代替 Statement
在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement。也就是说,在任何时候都不要使用Statement。
1.代码的可读性和可维护性。
虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说。都比直接用Statement的代码高很多档次。
PreparedStatement
Connection conn = null;
PreparedStatement pstmt = null;
conn = DriverManager.getConnection(JDBCURL, DBUSER, DBPASSWORD);
String sql = "update Person set age= ?,tel= ?,summary = ? where id = ?";
pstmt = conn.prepareStatement(sql);
pstmt.setString(1,age);
pstmt.setString(2,tel);
pstmt.setString(3,summary);
pstmt.setString(4,pId);
pstmt.executeUpdate();
Statement
Connection conn = null;
Statement stmt = null;
conn = DriverManager.getConnection(JDBCURL, DBUSER, DBPASSWORD);
String sql = "update Person set age = '"+age+"',tel = '"+tel+"',summary = '"+summary+"' where id = '"+summary+"'";
stmt = conn.prepareStatement(sql);
stmt.executeUpdate();
2.PreparedStatement尽最大可能提高性能。
3.最重要的一点是极大地提高了安全性。
即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道。
String sql = "select * from tb_user where name = '"+varname+"' and passwd ='"+varpasswd+"'";
@1.如果我们把[' or '1' = '1]作为varpasswd传入进来,用户名随意,看看会成为什么?
select * from tb_user = '随意' and passwd = '' or '1' = '1';
因为'1'='1'肯定成立,所以可以任何通过验证;
@2.如果传入的变量中含有 ' 字符,则执行sql语句将会出错;
@3.更有甚者,把[';drop table tb_name;]作为varpasswd传入进来,则:
select * from tb_user = '随意' and passwd = '';drop table tb_user;
有些数据库是不会让你成功的,但也有很多数据库就可以使这些语句得到执行。
----------------------------------------------------------------------------------------------------
以下是java使用PreparedStatement进行数据库连接和操作的代码
package com.miracle.test;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
public class DBConnectionTest {
public static void main(String[] args) {
Connection conn = null;
PreparedStatement pstmt = null;
//String driver = "com.cownew.JDBMonitor.jdbc.DBDriver";
String driver = "oracle.jdbc.driver.OracleDriver";
//String url = "listener=jdbc:oracle:thin:@127.0.0.1:1521:orcl";
String url = "jdbc:oracle:thin:@127.0.0.1:1521:orcl";
String user = "admin";
String password = "1";
String sql = "select * from sysuser where account= ? and password= ?s";
try {
Class.forName(driver);
} catch (ClassNotFoundException e) {
System.out.println("加载驱动类时出现异常!");
e.printStackTrace();
}
try {
conn = DriverManager.getConnection(url, user, password);
pstmt = conn.prepareStatement(sql);
pstmt.setString(1, "root");
pstmt.setString(2, "123");
ResultSet rs = pstmt.executeQuery();
while(rs.next()) {
String name = rs.getString(8);
System.out.println(name);
}
pstmt.close();
} catch (SQLException e) {
System.out.println("出现SQLException异常");
e.printStackTrace();
} finally {
try {
if(conn!=null)
conn.close();
} catch (SQLException e) {
System.out.println("关闭数据库连接时出现异常");
e.printStackTrace();
}
}
}
}
分享到:
相关推荐
### JAVA数据库基本操作:增删改查 在Java开发中,与数据库进行交互是一项非常重要的技能。无论是构建简单的Web应用还是复杂的企业级系统,开发者都需要掌握如何通过Java代码执行SQL命令来实现数据的增删改查操作。...
#### 小结 通过本课程的学习,学员不仅能掌握Oracle数据库的基本操作和管理技能,还能深入了解其高级特性,为将来从事相关领域的工作打下坚实的基础。Oracle数据库因其强大的功能和广泛的应用场景,在IT行业中占据...
**1.8 小结** - JDBC体系结构包括JDBC驱动程序管理器接口和JDBCAPI。 - JDBCAPI包括`DriverManager`, `Connection`, `Statement`, `ResultSet`, `SQLException`等核心组件。 #### 第二章:JDBC基础应用 **2.1 ...
小结 通过以上步骤,我们成功地使用 Spring Boot 连接了 Oracle 数据库,并实现了基本的数据库操作。记住,在配置 `application.properties` 文件时,需要根据自己的数据库实例和账户信息进行修改。
通过上述步骤,我们可以成功地使用 Java 连接到 Oracle 数据库,并执行简单的 SQL 查询操作。需要注意的是,在生产环境中,还需要考虑异常处理、日志记录等细节问题,以确保程序的稳定性和安全性。此外,为了提高...
#### 五、小结 正确设置Oracle数据库的环境变量对于确保其正常运行至关重要。通过上述介绍,我们可以看到每个环境变量都有其特定的功能和用途。希望本文能够帮助您更好地理解和掌握Oracle数据库的环境变量设置。
#### 小结 本文详细介绍了Oracle数据库的连接过程,从客户端安装到配置文件的设置,再到故障排查与解决方法,旨在帮助用户顺畅地建立与Oracle数据库的连接。在实际操作过程中,务必仔细核对每一步的配置细节,确保...
Java调用Oracle存储过程是数据库操作中的常见任务,特别是在企业级应用开发中。本文将对这一主题进行深入探讨,以帮助开发者理解如何有效地在Java中调用Oracle存储过程。 首先,我们来看一个无返回值的存储过程的...
文档《java调用存储过程小结.pdf》涉及了如何使用Java语言通过JDBC(Java Database Connectivity)API来调用Oracle数据库中的存储过程。这个过程中,重点在于理解Java与数据库交互的基本原理以及如何通过编程方式...
Java 连接数据库是指使用 Java 语言连接到各种数据库管理系统(DBMS),例如 DB2、Oracle、MySQL 等,以便对数据库进行操作,如执行 SQL 语句、查询数据、插入数据、更新数据等。本文将详细介绍 Java 连接数据库的...
#### 四、小结 本文介绍了如何使用Java连接Oracle、SQL Server和DB2等主流数据库的方法,并提供了具体的示例代码。通过这些示例,开发者可以快速掌握如何使用JDBC API与不同的数据库进行交互。需要注意的是,在实际...
- **JDBC**: Java数据库连接,用于Java应用程序访问Oracle数据库。 - **PL/SQL**: Procedural Language/Structured Query Language的缩写,是Oracle数据库的内置编程语言,用于编写存储过程和函数。 ### Oracle PL/...
- **小结**:总结了本章介绍的工具及其用途。 #### 六、管理Oracle实例 - **目标**:讲解如何管理Oracle9i数据库实例,包括配置初始化参数、启动和关闭实例等。 - **初始化参数文件**:初始化参数文件包含了配置...
《Oracle 从入门到精通》中的视频教程和PPT资料。 Oracle 11G从入门到精通视频的PPT 第1章-Oracle 11g数据库简介 ...第22章-在Java中连接Oracle JDBC与ODBC简介 Thin方式连接Oracle JDBC-ODBC桥连接Oracle
- **应用场景**:通过模拟一个典型的人力资源部门的应用场景,帮助学员理解Oracle 10g数据库的各种操作和管理技巧。 **1.6 小结** - **总结**:这部分对前面介绍的核心概念进行了简要回顾,强调了学习Oracle 10g...
#### 四、小结 通过上述步骤,我们可以有效地测试MapXtreme for Java Manager与Oracle Spatial之间的连接。这不仅有助于确保GIS应用程序的数据层正常工作,还可以为后续的应用开发提供坚实的基础。如果在测试过程中...