preparestatement（java jdbc链接preparestatement里的方法setInt或者setString是根据SQL语句里设置的来定）

本文目录

• java jdbc链接preparestatement里的方法setInt或者setString是根据SQL语句里设置的来定
• 为什么PrepareStatement可以防止sql注入
• 为什么preparstatement空指针
• preparestatement执行以后会清空吗
• preparedstatement和preparestatement的区别
• JDBC中Statement和PrepareStatement的区别及特性
• JDBC中的Statement和PreparedStatement的区别
• pstmt = conn.prepareStatement(sql);是什么意思

java jdbc链接preparestatement里的方法setInt或者setString是根据SQL语句里设置的来定

　　jdbc连接preparestatement里的方法setInt或者setString是根据SQL语句里设置的，如果和SQL语句里的类型没对应执行时，会报错。　　1、可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象；　　2、PreparedStatement 接口是 Statement 的子接口，它表示一条预编译过的 SQL 语句；　　2、PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示，　　调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数；　　第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始)，第二个是设置的 SQL 语句中的参数的值。　　

为什么PrepareStatement可以防止sql注入

其实是预编译功能，用preparedstatement就会把sql的结构给数据库预编译。SQL注入 攻 击 是利用是指利用 设计 上的漏洞，在目 标 服 务 器上运行 Sql语 句以及 进 行其他方式的 攻 击 ， 动态 生成 Sql语 句 时 没有 对 用 户输 入的数据 进 行 验证 是 Sql注入 攻 击 得逞的主要原因。 对 于 JDBC而言， SQL注入 攻 击 只 对 Statement有效， 对 PreparedStatement 是无效的， 这 是因 为 PreparedStatement 不允 许 在不同的插入 时间 改 变查询 的 逻辑结 构。 如 验证 用 户 是否存在的 SQL语 句 为 ： select count(*) from usertable where name=’用 户 名 ’ and pswd=’密 码 ’如果在 用 户 名字段 中 输 入 ’ or ’1’=’1’ or ’1’=’1或是在 密 码 字段 中 输 入 1’ or ’1’=’1将 绕过验证 ，但 这种 手段只 对 只 对 Statement有效， 对 PreparedStatement 无效。 PreparedStatement 相 对 Statement有以下 优 点： 1.防注入攻击 2.多次运行速度快 3.防止数据库缓冲区溢出 4.代 码 的可读性可维护性好

为什么preparstatement空指针

1. PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程

2. 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯，用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大，对于一次性操作并不会带来额外的好处。

3. 3.statement每次执行sql语句，相关数据库都要执行sql语句的编译，preparedstatement是预编译得, preparedstatement支持批处理

4. 4.

5. Code Fragment 1:

String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′";

stmt.executeUpdate(updateString);

Code Fragment 2:

PreparedStatement updateSales = con.prepareStatement("UPDATE COFFEES SET SALES = ? WHERE COF_NAME LIKE ? ");

updateSales.setInt(1, 75);

updateSales.setString(2, "Colombian");

updateSales.executeUpdate();

片断2和片断1的区别在于，后者使用了PreparedStatement对象，而前者是普通的Statement对象。PreparedStatement对象不仅包含了SQL语句，而且大多数情况下这个语句已经被预编译过，因而当其执行时，只需DBMS运行SQL语句，而不必先编译。当你需要执行Statement对象多次的时候，PreparedStatement对象将会大大降低运行时间，当然也加快了访问数据库的速度。

这种转换也给你带来很大的便利，不必重复SQL语句的句法，而只需更改其中变量的值，便可重新执行SQL语句。选择PreparedStatement对象与否，在于相同句法的SQL语句是否执行了多次，而且两次之间的差别仅仅是变量的不同。如果仅仅执行了一次的话，它应该和普通的对象毫无差异，体现不出它预编译的优越性。

5.执行许多SQL语句的JDBC程序产生大量的Statement和PreparedStatement对象。通常认为PreparedStatement对象比Statement对象更有效,特别是如果带有不同参数的同一SQL语句被多次执行的时候。PreparedStatement对象允许数据库预编译SQL语句，这样在随后的运行中可以节省时间并增加代码的可读性。

然而，在Oracle环境中，开发人员实际上有更大的灵活性。当使用Statement或PreparedStatement对象时，Oracle数据库会缓存SQL语句以便以后使用。在一些情况下,由于驱动器自身需要额外的处理和在Java应用程序和Oracle服务器间增加的网络活动，执行PreparedStatement对象实际上会花更长的时间。

然而，除了缓冲的问题之外，至少还有一个更好的原因使我们在应用程序中更喜欢使用PreparedStatement对象,那就是安全性。传递给PreparedStatement对象的参数可以被强制进行类型转换，使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。

当处理公共Web站点上的用户传来的数据的时候，安全性的问题就变得极为重要。传递给PreparedStatement的字符串参数会自动被驱动器忽略。最简单的情况下，这就意味着当你的程序试着将字符串“D’Angelo”插入到VARCHAR2中时，该语句将不会识别第一个“，”，从而导致悲惨的失败。几乎很少有必要创建你自己的字符串忽略代码。

在Web环境中，有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序。特别是在公共Web站点上,在没有首先通过PreparedStatement对象处理的情况下，所有的用户输入都不应该传递给SQL语句。此外，在用户有机会修改SQL语句的地方，如HTML的隐藏区域或一个查询字符串上，SQL语句都不应该被显示出来。

在执行SQL命令时，我们有二种选择：可以使用PreparedStatement对象，也可以使用Statement对象。无论多少次地使用同一个SQL命令，PreparedStatement都只对它解析和编译一次。当使用Statement对象时，每次执行一个SQL命令时，都会对它进行解析和编译。   

第一：

prepareStatement会先初始化SQL，先把这个SQL提交到数据库中进行预处理，多次使用可提高效率。  

createStatement不会初始化，没有预处理，没次都是从0开始执行SQL

第二：

prepareStatement可以替换变量  

在SQL语句中可以包含?，可以用ps=conn.prepareStatement("select * from Cust where ID=?");  

int sid=1001;  

ps.setInt(1, sid);  

rs = ps.executeQuery();  

可以把?替换成变量。  

而Statement只能用  

int sid=1001;  

Statement stmt = conn.createStatement();  

ResultSet rs = stmt.executeQuery("select * from Cust where ID="+sid);  

来实现。

第三：

prepareStatement会先初始化SQL，先把这个SQL提交到数据库中进行预处理，多次使用可提高效率。  

createStatement不会初始化，没有预处理，没次都是从0开始执行SQL

preparestatement执行以后会清空吗

preparestatement执行以后会清空preparestatement因为有预编译机制，每次执行相同sql的预编译，只会执行一次，下次只要设置参数就行，适合相同sql的批处理如果一定要多次编译不同sql，执行批处理的话，只会执行一个sql

preparedstatement和preparestatement的区别

prepareStatement是Connection类的一个方法，作用是对sql语句进行预处理，发到数据库等待执行，该方法执行完之后会返回一个prreparedStatement对象，可以通过它设置sql中带有占位符的值，执行预处理sql语句等操作

JDBC中Statement和PrepareStatement的区别及特性

statement是语句，prepared statement是预定义语句。在Visual Basic中的基本语句包括：一、赋值语句。赋值语句的语法如下：变量名或对象.属性=表达式它的含义是把等号右边的值赋给等号左边的值。二、判定结构。一、If语句。用If...Then结构有条件地执行一个或多个语句。单行语法和多行块语法都可以使用：If condition Then statement If condition Then Statements End If Condition 通常是比较式，但它可以是任何计算数值的表达式。Visual Basic 将这个值解释为True或False：一个为零的数值为False，而任何非零数值都被看作True。若condition为True，则Visual Basic执行Then 关键字后面的所有statements。可以使用单行或多行语法有条件地执行一个语句。注意：If...Then的单行格式不用End If语句。如果condition为True时要执行多行代码，则必须使用多行块If...Then...End If语法。二、If...Then...Else语句。用If...Then...Else块定义几个语句块，执行其中一个语句： If condition1 Then [ElseIf condition2 Then ... [Else End If Visual Basic首先测试condition1。如果它为False，Visual Basic就测试 condition2，依次类推，直到找到一个为True的条件。当它找到一个为 True的条件时，Visual Basic就会执行相应的语句块，然后执行End If后面的代码。作为一个选择，可以包含Else语句块，如果条件都不是True，则Visual Basic执行Else语句块。 If...Then…ElseIf只是If...Then...Else的一个特例。注意，可以使用任意数量的ElseIf子句，或者一个也不用。可以有一个Else子句，而不管有没有ElseIf 子句。二、循环语句。电脑最擅长的就是不厌其烦地重复做一项工作成千上万遍（即重复执行几行代码），这就是通过循环结构来完成的。VB支持的循环结构有：Do…Loop和For…Next。用Do循环重复执行一个语句块，且重复次数不定。Do…Loop是以计算数值为条件以决定是否继续执行。条件必须是一个数值或者值为True或False的表达式。在下面的Do…Loop循环中，只要条件为真就执行循环。Do While 循环条件循环语句块Loop当Visual Basic执行到这个Do循环时首先测试条件，条件为假时，跳过所有语句。如果条件为真，Visual Basic就会执行语句，退回到Do While语句测试条件。只要条件为真，循环可以随意执行几次。如果条件一开始便为假，则不会执行语句。还有一种Do…Loop语句，是先执行语句，每次执行之后测试条件，循环中的语句至少执行一次。Do循环语句块Loop While 循环条件在不知道循环要执行几次语句时，用Do循环，知道循环次数时，可以使用For…Next循环。For循环使用一个叫做计数器的变量，重复一次循环之后，计数器的值会增加或减少。For 计数器=初值To终止值Step增量循环语句块Next 计数器计数器、初值、终止值和增量为数值型。执行For循环时，设置计数器等于初值，测试计数器是否大于终止值，是则退出循环，执行循环语句，计数器增加增量后重复以上步骤。用Exit语句可以退出For循环、Do循环，它的语法是Exit Do和Exit For，在循环中出现的次数无限制。

JDBC中的Statement和PreparedStatement的区别

statement是语句，prepared statement是预定义语句。书写合格的程序代码，是进行程序设计的根本。熟练地掌握了这些内容，在以后的编程中才不会捉襟见肘。编程的语法就像人类语言的语法一样，是用一些词汇和词汇的组织规则来表达自己的。Visual Basic的程序代码由语句、常数和声明等部分组成。这些语句就叫做statements，使用最频繁的语句是赋值语句，在程序运行的过程中改变对象的属性、变量的值。语法如下：对象.属性或变量=表达式赋值语句是把等号右边表达式的值赋给等号左边的变量或对象的属性。要添加注释，只需要用单引号’作为注释文字的开头。注释符告诉Visual Basic，忽略这个符号后面的内容，这些内容就是代码段中的注释部分，在代码器中以绿色字符显示。注释可以和语句在同一行，写在语句的后面，也可占据一整行。可以在代码器中，用续行符（_）把长语句分成几行。使用续行符，在电脑上和打印出来时，代码变得更加易读。在同一行内，续行符后面不能加注释。续行符也不能把变量名和属性名分隔在两行中。一行有一个Visual Basic语句，不用像C语言那样，一条语句后面要加一个分号作为语句的终结符，但是也可以把两个或几个语句放在同一行，只是要用冒号把它们分开。但是，为了便于阅读，最好还是一行放一个语句。

pstmt = conn.prepareStatement(sql);是什么意思

pstmt = conn.prepareStatement（sql）是执行SQL语句的一个接口。但是执行前会对SQL语句进行预编译的操作，然后就开始执行SQL语句，并把结果赋值给pstmt。conn的意思是一个数据库连接。

PreparedStatement是Statement的子接口，表示预编译的 SQL 语句的对象，SQL 语句被预编译并存储在PreparedStatement 对象中。然后可以使用此对象多次高效地执行该语句。如果有参数的话还需要添加输入的参数。

扩展资料：

数据库建立连接的五大步骤：

1、加载（注册）数据库

装载驱动程序只需要非常简单的一行代码。例如，你想要使用 JDBC-ODBC 桥驱动程序，可以用下列代码装载它：Class.forName("sun.jdbc.odbc.JdbcOdbcDriver")。

你的驱动程序文档将告诉你应该使用的类名。例如， 如果类名是 jdbc.DriverXYZ ，你将用代码以下的代码装载驱动程序：Class.forName（"jdbc.DriverXYZ"）。

你不需要创建一个驱动程序类的实例并且用 DriverManager 登记它，因为调用 Class.forName 将自动将加载驱动程序类。加载 Driver 类后，它们即可用来与数据库建立连接。

2 、建立链接

第二步就是用适当的驱动程序类与 DBMS 建立一个连接。下列代码是一般的做法：

Connection con = DriverManager.getConnection（url，"myLogin"，"myPassword"）

3 、执行SQL语句

我们使用 executeUpdate 方法是因为在 createTableCoffees 中的 SQL 语句是 DDL （数据定义语言）语句。创建表，改变表，删除表都是 DDL 语句的例子，要用 executeUpdate 方法来执行。

4、 处理结果集

5 、关闭数据库

参考资料来源：百度百科-Java数据库连接