码迷,mamicode.com
首页 > 数据库 > 详细

JDBC中PreparedStatement和Statement的区别

时间:2015-01-06 17:32:08      阅读:139      评论:0      收藏:0      [点我收藏+]

标签:

 共同点:

PreparedStatement和Statement都是用来执行SQL查询语句的API之一。

不同点:

在PreparedStatement中,当我们经常需要反复执行一条结构相似的sql语句,比如:

insert into table values(0,first,1);
insert into table values(0,second,2);

我们可以使用带占位符的sql来代替它:

insert into table values(0,?,?);

然后每次传入参数即可,但是Statement中是不允许使用占位符的,更没有带参数。而且更重要的是PreparedStatement会预编译sql语句,把预编译后的sql语句存在对象中,那么这样每次传入参数执行查询等操作会变得非常高效,也就是说PreparedStatement比Statement高效。PreparedStatement还提供了一系列的setXxx(int index, Xxx value)方法来传入参数。

PreparedStatement可以防止SQL注入式攻击:

(以下内容部分参考维基百科:http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A)

比如:某个网站的登录验证SQL查询代码为:

 

strSQL = "SELECT * FROM users WHERE name = ‘" + userName + "‘ and pw = ‘"+ passWord +"‘;"

 

恶意填入:

 
userName = "1‘ OR ‘1‘=‘1";
passWord = "1‘ OR ‘1‘=‘1";

 

那么最终SQL语句变成了:

strSQL = "SELECT * FROM users WHERE name = ‘1‘ OR ‘1‘=‘1‘ and pw = ‘1‘ OR ‘1‘=‘1‘;"

因为WHERE条件恒为真,这就相当于执行:

strSQL = "SELECT * FROM users;"

因此可以达到无账号密码亦可登录网站。

都已经登陆数据库了,后面想干啥还能让你控制么?

然而使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。

 

本博客内容与代码均为作者Jarvis原创,如若转载请注明。

JDBC中PreparedStatement和Statement的区别

标签:

原文地址:http://www.cnblogs.com/jarviswhj/p/4206353.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!