JDBC——CreateStatement和PrepareStatement作用区别

  本文主要讲了PrepareStatement和CreateStatement的作用区别,大家可以一起学习!走后端的小伙伴都会必修JDBC,在前段时间作者实训期间,看到老师举例的时候用了CreateStatement(当然老师只是随便举得例子)。而本人的个人习惯是用PrepareStatement的,作者之前是很困惑过这两个之间的区别的,在实践之后以及看的一些资料积攒了一些看法,在这里和大家谈一下CreatStatement和PrepareStatement的作用和区别吧。(图为老师的案例)

  作用:这两者作用基本一样,来看两者代码的写法。两者在JDBC连接数据库时用法基本一样,都是创建了一个数据库的操作对象,然后让该对象调用excuteQuery执行相应的sql语句。所以在JDBC中这俩其实最后达成的效果是一样的。

  区别:CreateStatement和PrepareStatement的最明显的区别首先自然是写法上面了。来直接看代码:

代码背景:假设我们数据库里面有一张关于book的表,里面有bid和bname两列,现在进行查询两列数据这个简单的操作。

这是用PrepareStatement创建的ps操作对象的过程(为了增强对比性其余片段先省略掉)

//创建sql命令
String sql="select *from book where bid=? and bname=?";
//创建sql操作对象
ps=conn.prepareStatement;
//给占位值赋值
ps.setString(1,bid);
ps.setString(2,bname);
//执行sql命令
rs=ps.executeQuery();

  这是用CreatStatement创建的st操作对象的过程

//创建sql命令
String sql="select *from book where bid=‘"+bid+"‘ and bname=‘"+bname"‘";
//创建数据库操作对象
st=conn.createStatement;
//执行sql命令
rs=st.executeQuery(sql);

  从代码上相信很多人就可以看出两个人写法上的区别了,PrepareStatement和CreateStatement的写法就是前者将sql语句中的变量抽离出来了。你品,你细品。有没有从这发现PrepareStatement的一大优点:可读性强!什么?你没有发现?如果我们原来数据库中的book表多了bdescn,bprice,bauthor这三列。我们往这五列添加数据,两个代码的样子又变成什么样子了呢?

  Createment的是这样的:

String sql = "insert into book (bid,bname,bauthor,bdescn,bprice) values("+var1+‘"+var2+"‘,"+var3+",‘"+var4+","+var5+"‘)";
st = conn.createStatement();
rs = st.executeUpdate(sql);

  PrepareStatement是这样的

String sql = "insert into book (boid,bname,bauthor,bdescn,bprice) values(?,?,?,?,?)";
ps=conn.prepareStatement(sql);
ps.setString(1,var1);
ps.setString(2,var2);
ps.setString(3,var3);
ps.setString(4,var4);ps.setString(5,var5);
pst.executeUpdate();

  这样看应该是非常清晰了吧,CreateStatement在写的时候要注意的太多了,而且标点符号啥的一点都不能错。否则程序就会报错,这谁顶得住呀!

  当然不止这一个区别。PrepareStatement从“伦理”上面来说应该是诞生于CresteStatement,也就是CreateStatement是它爸!!所以CreateStatement上面的所有优点都被PrepareStatement完美的继承了。就拿上面的举例,实际上Createment的工作原理就是将String sql="insert into book values()"执行了多次,而PrepareStatement工作原理则相反,是先将相应的sql语句编译好,之后有对象执行这条sql语句时,直接调用相应编译好的sql语句时就好。所以后者的工作效率就会明显的比前者高,当然也就更加灵活啦。

  最后,就是最重要的一个区别了。那就是PrepareStatement的安全性比“他爸”高了非常多,你在看上面的代码,你品,你细品。如果看不出来的话我给大家换一个,如果使用CreateStatement创造数据库操作对象去验证用户的账号密码的时是不是下面这么操作的呢?

String sql = "select * from user where username= ‘"+varname+"‘ and userpwd=‘"+varpasswd+"‘";

st = conn.createStatement();

rs = st.executeUpdate(sql);

  有没有感觉有什么不对的地方呢??你看,假使我们在知道一个用户的用户名却不知道密码的时候,将or ‘1‘ = ‘1‘当作密码传进去会发生什么呢?句子就变成这样子了select * from user where username = ‘user‘ and userpwd = ‘‘ or ‘1‘ = ‘1‘是不是就会惊奇的发现,这竟然是一个恒等式!!所以想要得到你的权限去干事情就变得非常简单,比如添加一个在‘or ‘1‘ = 1‘添加一个drop table book是不是你这一个表就消失了呢?而用它的“儿子”就完全不会出现这种情况,因为PrepareStatement在运行的过程中都是独立的,数据也都是独立运行的,所以影响没有那么大的!

  好啦,就讲到这了,希望可以给你一点帮助!

原文地址:https://www.cnblogs.com/ffdsj/p/12174097.html

时间: 2024-10-04 10:05:17

JDBC——CreateStatement和PrepareStatement作用区别的相关文章

JDBC、Hibernate、MyBatis区别

JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成.JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序,同时,JDBC也是个商标名. Hibernate是一个开放源代码的对象关系映射框架,它对JDBC进行了非常轻量级的对象封装,它将POJO与数据库表建立映射关系,是一个全自动的orm框架,hibern

Java系列之JDBC和ODBC之间的区别与联系

JDBC简介 JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,它是Java十三个规范之一.可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成.JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数据库开发人员能够编写数据库应用程序,同时,JDBC也是个商标名. ODBC简介 开放数据库互连(Open Database Connectivity,ODBC)是微软公司开放服务结构(WOSA

DBUtils开源JDBC类库,对JDBC简单封装(作用是:简化编码工作量,同时不会影响程序的性能)

DBUtils:提高了程序的性能,编程更加简便 三个架包 mysql-connector-java-jar commons-dbcp-1.4jar commons-pool-1.5.5jar 导进去 ------------------------------------------------------------------------------- //数据库连接池:三个开源的架包导进去 数据库连接池连接代码(其方法在TestJDBC()类中): public Connection te

DMRS、DRS、SRS、CRS各自作用区别

SRS:用于估计上行信道频域信息,做频率选择性调度;用于估计上行信道,做下行波束赋形DMRS:用于上行控制和数据信道的相关解调DRS:仅出现于波束赋型模式,用于UE解调CRS:用于下行信道估计,及非beamforming模式下的解调.调度上下行资源,用作切换测量 http://www.mscbsc.com/bbs/viewthread.php?tid=433176&page=1#pid4480601 DRS是下行业务信道波束赋形时使用的,对应port5 MIMO模式TM7,叫用户专用参考信号,所

JDBC介绍(详细版)

JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,可以为多种关系数据库提供统一访问,它由一组用Java语言编写的类和接口组成.JDBC提供了一种基准,据此可以构建更高级的工具和接口,使数 据库开发人员能够编写数据库应用程序,同时,JDBC也是个商标名. 有了JDBC,向各种关系数据发送SQL语句就是一件很容易 的事.换言之,有了JDBC API,就不必为访问Sybase数据库专门写一个程序,为访问Oracle数据库又

jdbc的相关知识

如何通过jdbc访问数据库? java数据库连接(java Database Connectivity,jdbc)是一种用于实现java程序中数据库操作功能.它提供了执行sql语句,访问各种数据库的方法,并为个各种不同的数据库提供了相同的操作接口.java.sql中包含了所有数据库操作的类.通过jdbc操作数据库主要有以下几步: (1)加载驱动器,将数据库的驱动加载到classpath中,在基于javaee的web开发中,一般将数据库驱动拷贝到WEB-INF/lib下. (2)加载驱动,将数据库

JDBC(Java Data Base Connectivity)基本用法

一.什么是JDBC JDBC(Java Database Connection)为java开发者使用数据库提供了统一的编程接口,它由一组java类和接口组成.是java程序与数据库系统通信的标准APl. JDBC API使得开发人员可以使用纯 java 的方式来连接数据库,并执行操作. sun公司由于不知道各个主流商用数据库的程序代码,因此无法自己写代码连接各个数据库.因此,sun公司决定自己提供一套api,凡是数据库想与Java进行连接的,数据库厂商自己必须实现JDBC这套接口.而数据库厂商的

JAVA数据库编程(JDBC技术)-入门笔记

本菜鸟才介入Java,我现在不急着去看那些基本的语法或者一些Java里面的版本的特征或者是一些晋级的知识,因为有一点.Net的OOP编程思想,所以对于Java的这些语法以及什么的在用到的时候在去发现学习一下.我现在很迫不及待用JAVA想来实现以下对数据库的增删改查.想实现就来看Java是怎么操作数据库的,回想下.Net里你可能会配置web.Config,或者你去写一些DBhelper类然后调用里面的自己定义的一些增删改查的方法,更或者你去配一些数据控件等等往往发现操作基本都是一体化的简单.现在面

JDBC常见面试题集锦

什么是JDBC,在什么时候会用到它? JDBC的全称是Java DataBase Connection,也就是Java数据库连接,我们可以用它来操作关系型数据库.JDBC接口及相关类在java.sql包和javax.sql包里.我们可以用它来连接数据库,执行SQL查询,存储过程,并处理返回的结果. JDBC接口让Java程序和JDBC驱动实现了松耦合,使得切换不同的数据库变得更加简单. 有哪些不同类型的JDBC驱动? 有四类JDBC驱动.和数据库进行交互的Java程序分成两个部分,一部分是JDB