PreparedStatement:Java 数据库操作的安全与高效之道

铁佛  论坛元老 | 2025-5-3 13:26:36 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 1910|帖子 1910|积分 5730



1. 引言

在 Java 数据库编程中,PreparedStatement 是一个非常紧张的接口,用于执行预编译的 SQL 语句。与 Statement 相比,PreparedStatement 提供了更高的安全性和性能。本文将具体先容 PreparedStatement 的根本用法、上风以及如安在实际项目中应用。
2. 什么是 PreparedStatement?

PreparedStatement 是 Java JDBC 中的一个接口,它是 java.sql.Statement 的子接口。与普通 Statement 相比,PreparedStatement 允许在 SQL 语句中使用 参数占位符(?),并在执行时动态赋值。这不仅提升了代码的可读性,还提高了数据库的执行效率。
2.1 继承关系

在 JDBC 结构中,PreparedStatement 继承自 Statement,并间接继承 AutoCloseable 和 Wrapper,这意味着它支持自动关闭资源(try-with-resources 语法)并允许包装其他对象。
2.2 防止 SQL 注入

SQL 注入是一种常见的安全毛病,攻击者可以通过在输入中插入恶意 SQL 代码来利用数据库查询。使用 PreparedStatement 可以有用防止 SQL 注入,因为参数值会被预编译,不会被表明为 SQL 代码。
2.3 提高性能

PreparedStatement 的 SQL 语句在初次执行时会被预编译,后续执行时可以直接使用编译好的语句,淘汰了编译次数,从而提高了执行效率。
2.4 代码可读性和维护性

使用 PreparedStatement 可以避免通过字符串拼接来构建 SQL 语句,淘汰了语法错误的可能性,并提高了代码的可读性和维护性。
3. PreparedStatement 的根本用法

3.1 部分方法:


 3.2 实例

  1. package JDBC;
  3. import java.io.FileInputStream;
  4. import java.sql.*;
  5. import java.util.Properties;
  6. import java.util.Scanner;
  8. public class PerparedStatement {
  9.     public static void main(String[] args) throws Exception {
  11. //        安全查询
  12. //        Class.forName("com.mysql.jdbc.Driver");
  13.         Scanner scanner = new Scanner(System.in);
  14.         System.out.println("Enter SQL nameusr statement");
  15.         String username =scanner.nextLine();
  16.         System.out.println("Enter SQL pwd statement");
  17.         String pwd =scanner.nextLine();
  19.         Properties properties = new Properties();
  20.         properties.load(new FileInputStream("src\\JDBC\\mysql.properties"));
  21.         String url = (String) properties.get("url");
  22.         String user =(String) properties.get("user");
  23.         String password =(String) properties.get("password");
  24.         String driver =(String) properties.get("driver");
  25. //        实例化
  26. //        Class.forName(driver); //注册驱动
  28.         Connection connection = DriverManager.getConnection(url, user, password);
  29.         //        组织sql语言
  30.         String sql=  "select * from sql_injection where NAME=? and  pwd = ? ;";
  32. //        改用PerparedStatement
  33.         PreparedStatement preparedStatement = connection.prepareStatement(sql);
  34.         preparedStatement.setString(1, username);
  35.         preparedStatement.setString(2, pwd);
  36. //        此时不用写sql
  37.         ResultSet resultSet = preparedStatement.executeQuery();
  38. //        得到statement
  39. //        Statement statement = connection.createStatement();
  41. //        组织查询语句
  42. //        String sql = "select * from sql_injection where NAME='"+username+"'and  pwd = '"+pwd+"';" ;
  45. //        ResultSet resultSet = statement.executeQuery(sql);
  46.         if (resultSet.next()) {
  47.             System.out.println("查询成功");
  49.         }
  50.         else {
  51.             System.out.println("查询失败");
  53.         }
  55. //        关闭连接,安全操作
  56.         resultSet.close();
  57.         preparedStatement.close();
  58.         connection.close();
  61.     }
  62. }
复制代码
3.3 插入数据示例

  1. String insertSQL = "INSERT INTO users (username, password) VALUES (?, ?)";
  2. try (PreparedStatement pstmt = conn.prepareStatement(insertSQL)) {
  3.     pstmt.setString(1, "new_user");
  4.     pstmt.setString(2, "secure_password");
  5.     int affectedRows = pstmt.executeUpdate();
  6.     System.out.println("插入成功,影响行数:" + affectedRows);
  7. }
复制代码
3.4 批量执行示例

  1. String sql = "INSERT INTO users (username, password) VALUES (?, ?)";
  2. try (PreparedStatement pstmt = conn.prepareStatement(sql)) {
  3.     pstmt.setString(1, "user1");
  4.     pstmt.setString(2, "pass1");
  5.     pstmt.addBatch();
  7.     pstmt.setString(1, "user2");
  8.     pstmt.setString(2, "pass2");
  9.     pstmt.addBatch();
  11.     int[] result = pstmt.executeBatch();
  12.     System.out.println("批量插入成功,影响行数:" + result.length);
  13. }
复制代码
 3.5 结合dml操作实例

  1. package JDBC;
  3. import java.io.FileInputStream;
  4. import java.sql.Connection;
  5. import java.sql.DriverManager;
  6. import java.sql.PreparedStatement;
  7. import java.sql.ResultSet;
  8. import java.util.Properties;
  9. import java.util.Scanner;
  11. public class PerparedstatementDML {
  12.     public static void main(String[] args) throws Exception {
  13.         //        安全查询
  14. //        Class.forName("com.mysql.jdbc.Driver");
  15.         Scanner scanner = new Scanner(System.in);
  16.         System.out.println("Enter SQL nameusr statement");
  17.         String username =scanner.nextLine();
  18.         System.out.println("Enter SQL pwd statement");
  19.         String pwd =scanner.nextLine();
  21.         Properties properties = new Properties();
  22.         properties.load(new FileInputStream("src\\JDBC\\mysql.properties"));
  23.         String url = (String) properties.get("url");
  24.         String user =(String) properties.get("user");
  25.         String password =(String) properties.get("password");
  26.         String driver =(String) properties.get("driver");
  27. //        实例化
  28. //        Class.forName(driver); //注册驱动
  30.         Connection connection = DriverManager.getConnection(url, user, password);
  31.         //        组织sql语言
  32. //        String insert_sql=  "insert into sql_injection values (?,?);";
  33. //        String update_sql=  "update sql_injection set pwd = ? where name = ?;";
  34.         String delet_sql=  "delete from sql_injection  where name = ?;";
  36. //        改用PerparedStatement
  37.         PreparedStatement preparedStatement = connection.prepareStatement(delet_sql);
  38.         preparedStatement.setString(1, username);
  39. //        preparedStatement.setString(2, username);
  40. //        此时不用写sql
  41.         int i = preparedStatement.executeUpdate();
  42.          //返回修改的行数
  43.         if (i >0) {
  44.             System.out.println("修改成功");
  46.         }
  47.         else {
  48.             System.out.println("修改失败");
  50.         }
  52. //        关闭连接,安全操作
  53. //        resultSet.close();
  54.         preparedStatement.close();
  55.         connection.close();
  56.     }
  57. }
复制代码
4. PreparedStatement 的上风

4.1 防止 SQL 注入

传统 Statement 需要拼接 SQL 语句,例如:
  1. String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";
复制代码
假如用户输入 admin' OR '1'='1,则 SQL 语句变为:
  1. SELECT * FROM users WHERE username = 'admin' OR '1'='1'
复制代码
这将导致 SQL 注入,绕过身份验证。而 PreparedStatement 通过 参数化查询,可以有用避免此问题。
4.2 提高性能

数据库可以 预编译 PreparedStatement,当相同的 SQL 语句多次执行时,数据库无需重复解析 SQL 语句,从而提高执行效率。
4.3 淘汰语法错误

由于 SQL 语句在 编写时 就已固定,避免了手动拼接 SQL 可能导致的 语法错误
4.4 结合数据库连接池

结合 数据库连接池(如 HikariCP、C3P0),可以进一步提高 PreparedStatement 的性能。连接池可以复用 PreparedStatement,避免数据库频仍解析 SQL 语句。

5.留意事项

作用:

  • resultSet.close():关闭 结果集,释放查询结果所占用的内存资源。
  • preparedStatement.close():关闭 预编译 SQL 语句对象,释放数据库的预编译缓存资源。
  • connection.close():关闭 数据库连接,释放数据库连接资源,避免连接泄漏。
  1. // 关闭连接,安全操作
  2. resultSet.close();
  3. preparedStatement.close();
  4. connection.close();
复制代码
为什么要关闭这些资源?


  • 防止内存泄漏:未关闭的 ResultSet、PreparedStatement 和 Connection 可能会占用大量内存,长期运行可能导致 内存溢出
  • 释放数据库连接:数据库连接是有限的,未及时关闭会导致 连接池资源耗尽,影相应用步伐性能。
  • 提高应用步伐的稳固性:避免出现 资源占用过多死锁 的情况,确保数据库操作的可持续性。
6. 总结

PreparedStatement 是 Java JDBC 中强烈推荐使用的 SQL 执行方式,它不仅提高了安全性,还提升了数据库的执行效率。开发者应 避免使用 Statement 拼接 SQL 语句,而是 始终使用 PreparedStatement 进行数据库操作
希望本文能资助各人更好地明白和使用 PreparedStatement,提升 Java 数据库开发的质量和安全性!


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

铁佛

论坛元老
这个人很懒什么都没写!

楼主热帖

标签云

渠道 国产数据库 集成商 AI 运维 CIO 存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表