标签:
共同点:
PreparedStatement和Statement都是用来执行SQL查询语句的API之一。
不同点:
在PreparedStatement中,当我们经常需要反复执行一条结构相似的sql语句,比如:
insert into table values(0,‘first‘,1); insert into table values(0,‘second‘,2);
我们可以使用带占位符的sql来代替它:
insert into table values(0,?,?);
然后每次传入参数即可,但是Statement中是不允许使用占位符的,更没有带参数。而且更重要的是PreparedStatement会预编译sql语句,把预编译后的sql语句存在对象中,那么这样每次传入参数执行查询等操作会变得非常高效,也就是说PreparedStatement比Statement高效。PreparedStatement还提供了一系列的setXxx(int index, Xxx value)方法来传入参数。
PreparedStatement可以防止SQL注入式攻击:
(以下内容部分参考维基百科:http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A)
比如:某个网站的登录验证SQL查询代码为:
strSQL = "SELECT * FROM users WHERE name = ‘" + userName + "‘ and pw = ‘"+ passWord +"‘;"
恶意填入:
userName = "1‘ OR ‘1‘=‘1";
passWord = "1‘ OR ‘1‘=‘1";
那么最终SQL语句变成了:
strSQL = "SELECT * FROM users WHERE name = ‘1‘ OR ‘1‘=‘1‘ and pw = ‘1‘ OR ‘1‘=‘1‘;"
因为WHERE条件恒为真,这就相当于执行:
strSQL = "SELECT * FROM users;"
因此可以达到无账号密码亦可登录网站。
都已经登陆数据库了,后面想干啥还能让你控制么?
然而使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。
本博客内容与代码均为作者Jarvis原创,如若转载请注明。
JDBC中PreparedStatement和Statement的区别
标签:
原文地址:http://www.cnblogs.com/jarviswhj/p/4206353.html