JDBC中PreparedStatement和Statement的区别

 共同点:

PreparedStatement和Statement都是用来执行SQL查询语句的API之一。

不同点:

在PreparedStatement中,当我们经常需要反复执行一条结构相似的sql语句,比如:

insert into table values(0,first,1);
insert into table values(0,second,2);

我们可以使用带占位符的sql来代替它:

insert into table values(0,?,?);

然后每次传入参数即可,但是Statement中是不允许使用占位符的,更没有带参数。而且更重要的是PreparedStatement会预编译sql语句,把预编译后的sql语句存在对象中,那么这样每次传入参数执行查询等操作会变得非常高效,也就是说PreparedStatement比Statement高效。PreparedStatement还提供了一系列的setXxx(int index, Xxx value)方法来传入参数。

PreparedStatement可以防止SQL注入式攻击:

(以下内容部分参考维基百科:http://zh.wikipedia.org/wiki/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A)

比如:某个网站的登录验证SQL查询代码为:

 

strSQL = "SELECT * FROM users WHERE name = ‘" + userName + "‘ and pw = ‘"+ passWord +"‘;"

 

恶意填入:

 
userName = "1‘ OR ‘1‘=‘1";
passWord = "1‘ OR ‘1‘=‘1";

 

那么最终SQL语句变成了:

strSQL = "SELECT * FROM users WHERE name = ‘1‘ OR ‘1‘=‘1‘ and pw = ‘1‘ OR ‘1‘=‘1‘;"

因为WHERE条件恒为真,这就相当于执行:

strSQL = "SELECT * FROM users;"

因此可以达到无账号密码亦可登录网站。

都已经登陆数据库了,后面想干啥还能让你控制么?

然而使用PreparedStatement的参数化的查询可以阻止大部分的SQL注入。在使用参数化查询的情况下,数据库不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有破坏性的指令,也不会被数据库所运行。

 

本博客内容与代码均为作者Jarvis原创,如若转载请注明。

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。