PreparedStatement:Java 数据库操作的安全与高效之道

ops/2025/3/17 4:27:43/

1. 引言

在 Java 数据库编程中,PreparedStatement 是一个非常重要的接口,用于执行预编译的 SQL 语句。与 Statement 相比,PreparedStatement 提供了更高的安全性和性能。本文将详细介绍 PreparedStatement 的基本用法、优势以及如何在实际项目中应用。

2. 什么是 PreparedStatement?

PreparedStatement 是 Java JDBC 中的一个接口,它是 java.sql.Statement 的子接口。与普通 Statement 相比,PreparedStatement 允许在 SQL 语句中使用 参数占位符(?),并在执行时动态赋值。这不仅提升了代码的可读性,还提高了数据库的执行效率。

2.1 继承关系

在 JDBC 结构中,PreparedStatement 继承自 Statement,并间接继承 AutoCloseableWrapper,这意味着它支持自动关闭资源(try-with-resources 语法)并允许包装其他对象。

2.2 防止 SQL 注入

SQL 注入是一种常见的安全漏洞,攻击者可以通过在输入中插入恶意 SQL 代码来操纵数据库查询。使用 PreparedStatement 可以有效防止 SQL 注入,因为参数值会被预编译,不会被解释为 SQL 代码。

2.3 提高性能

PreparedStatement 的 SQL 语句在首次执行时会被预编译,后续执行时可以直接使用编译好的语句,减少了编译次数,从而提高了执行效率。

2.4 代码可读性和维护性

使用 PreparedStatement 可以避免通过字符串拼接来构建 SQL 语句,减少了语法错误的可能性,并提高了代码的可读性和维护性。

3. PreparedStatement 的基本用法

3.1 部分方法:

 3.2 实例

java">package JDBC;import java.io.FileInputStream;
import java.sql.*;
import java.util.Properties;
import java.util.Scanner;public class PerparedStatement {public static void main(String[] args) throws Exception {//        安全查询
//        Class.forName("com.mysql.jdbc.Driver");Scanner scanner = new Scanner(System.in);System.out.println("Enter SQL nameusr statement");String username =scanner.nextLine();System.out.println("Enter SQL pwd statement");String pwd =scanner.nextLine();Properties properties = new Properties();properties.load(new FileInputStream("src\\JDBC\\mysql.properties"));String url = (String) properties.get("url");String user =(String) properties.get("user");String password =(String) properties.get("password");String driver =(String) properties.get("driver");
//        实例化
//        Class.forName(driver); //注册驱动Connection connection = DriverManager.getConnection(url, user, password);//        组织sql语言String sql=  "select * from sql_injection where NAME=? and  pwd = ? ;";//        改用PerparedStatementPreparedStatement preparedStatement = connection.prepareStatement(sql);preparedStatement.setString(1, username);preparedStatement.setString(2, pwd);
//        此时不用写sqlResultSet resultSet = preparedStatement.executeQuery();
//        得到statement
//        Statement statement = connection.createStatement();//        组织查询语句
//        String sql = "select * from sql_injection where NAME='"+username+"'and  pwd = '"+pwd+"';" ;//        ResultSet resultSet = statement.executeQuery(sql);if (resultSet.next()) {System.out.println("查询成功");}else {System.out.println("查询失败");}//        关闭连接,安全操作resultSet.close();preparedStatement.close();connection.close();}
}

3.3 插入数据示例

java">String insertSQL = "INSERT INTO users (username, password) VALUES (?, ?)";
try (PreparedStatement pstmt = conn.prepareStatement(insertSQL)) {pstmt.setString(1, "new_user");pstmt.setString(2, "secure_password");int affectedRows = pstmt.executeUpdate();System.out.println("插入成功,影响行数:" + affectedRows);
}

3.4 批量执行示例

java">String sql = "INSERT INTO users (username, password) VALUES (?, ?)";
try (PreparedStatement pstmt = conn.prepareStatement(sql)) {pstmt.setString(1, "user1");pstmt.setString(2, "pass1");pstmt.addBatch();pstmt.setString(1, "user2");pstmt.setString(2, "pass2");pstmt.addBatch();int[] result = pstmt.executeBatch();System.out.println("批量插入成功,影响行数:" + result.length);
}

 3.5 结合dml操作实例

java">package JDBC;import java.io.FileInputStream;
import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.util.Properties;
import java.util.Scanner;public class PerparedstatementDML {public static void main(String[] args) throws Exception {//        安全查询
//        Class.forName("com.mysql.jdbc.Driver");Scanner scanner = new Scanner(System.in);System.out.println("Enter SQL nameusr statement");String username =scanner.nextLine();System.out.println("Enter SQL pwd statement");String pwd =scanner.nextLine();Properties properties = new Properties();properties.load(new FileInputStream("src\\JDBC\\mysql.properties"));String url = (String) properties.get("url");String user =(String) properties.get("user");String password =(String) properties.get("password");String driver =(String) properties.get("driver");
//        实例化
//        Class.forName(driver); //注册驱动Connection connection = DriverManager.getConnection(url, user, password);//        组织sql语言
//        String insert_sql=  "insert into sql_injection values (?,?);";
//        String update_sql=  "update sql_injection set pwd = ? where name = ?;";String delet_sql=  "delete from sql_injection  where name = ?;";//        改用PerparedStatementPreparedStatement preparedStatement = connection.prepareStatement(delet_sql);preparedStatement.setString(1, username);
//        preparedStatement.setString(2, username);
//        此时不用写sqlint i = preparedStatement.executeUpdate();//返回修改的行数if (i >0) {System.out.println("修改成功");}else {System.out.println("修改失败");}//        关闭连接,安全操作
//        resultSet.close();preparedStatement.close();connection.close();}
}

4. PreparedStatement 的优势

4.1 防止 SQL 注入

传统 Statement 需要拼接 SQL 语句,例如:

java">String sql = "SELECT * FROM users WHERE username = '" + username + "' AND password = '" + password + "'";

如果用户输入 admin' OR '1'='1,则 SQL 语句变为:

java">SELECT * FROM users WHERE username = 'admin' OR '1'='1'

这将导致 SQL 注入,绕过身份验证。而 PreparedStatement 通过 参数化查询,可以有效避免此问题。

4.2 提高性能

数据库可以 预编译 PreparedStatement,当相同的 SQL 语句多次执行时,数据库无需重复解析 SQL 语句,从而提高执行效率。

4.3 减少语法错误

由于 SQL 语句在 编写时 就已固定,避免了手动拼接 SQL 可能导致的 语法错误

4.4 结合数据库连接池

结合 数据库连接池(如 HikariCP、C3P0),可以进一步提高 PreparedStatement 的性能。连接池可以复用 PreparedStatement,避免数据库频繁解析 SQL 语句。

5.注意事项

作用:

  1. resultSet.close():关闭 结果集,释放查询结果所占用的内存资源。

  2. preparedStatement.close():关闭 预编译 SQL 语句对象,释放数据库的预编译缓存资源。

  3. connection.close():关闭 数据库连接,释放数据库连接资源,避免连接泄漏。

java">// 关闭连接,安全操作
resultSet.close();
preparedStatement.close();
connection.close();

为什么要关闭这些资源?

  • 防止内存泄漏:未关闭的 ResultSetPreparedStatementConnection 可能会占用大量内存,长期运行可能导致 内存溢出

  • 释放数据库连接数据库连接是有限的,未及时关闭会导致 连接池资源耗尽,影响应用程序性能。

  • 提高应用程序的稳定性:避免出现 资源占用过多死锁 的情况,确保数据库操作的可持续性。

6. 总结

PreparedStatement 是 Java JDBC 中强烈推荐使用的 SQL 执行方式,它不仅提高了安全性,还提升了数据库的执行效率。开发者应 避免使用 Statement 拼接 SQL 语句,而是 始终使用 PreparedStatement 进行数据库操作

希望本文能帮助大家更好地理解和使用 PreparedStatement,提升 Java 数据库开发的质量和安全性!


http://www.ppmy.cn/ops/166395.html

相关文章

Nanobrowser:开源AI自动化神器 OpenAI Operator替代品

Nanobrowser介绍 Nanobrowser 是一款基于 AI 驱动的 Web 自动化开源工具,以 Chrome 扩展程序的形式运行,让用户只需利用自己的 LLM API 密钥便能轻松启动多代理工作流,成为 OpenAI Operator 的免费替代方案。它不仅支持灵活接入您喜欢的 LLM…

蓝桥杯_LED模块

一 前言 还有四十多天将要进行蓝桥杯的比赛,接下来一个多月我将进行我的知识点的复习,争取在蓝桥杯提交一个满意的答卷 二 锁存器M74HC753M1R 在我这一年并没有进行在csdn上发布任何文章,这一年我学了stm32、51,还有部分理论知…

Devops CI/CD

Devops CI/CD DevOps 中的 CI/CD:持续集成与持续部署的深度解析一、CI/CD 基本概念(一)持续集成(二)持续部署 二、CI/CD 实施步骤(一)版本控制(二)自动化构建&#xff08…

【Unity网络同步框架 - Nakama研究(三)】

文章目录 【Unity网络同步框架 - Nakama研究(三)】准备工作前言Unity部分连接服务器创建并进入房间创建人物人物移动和同步 【Unity网络同步框架 - Nakama研究(三)】 以下部分需要有一定的Unity基础,在官方的案例Pirate Panic基础上进行修改而成。如果没有下载并熟悉…

宇数科技激光雷达L2

使用的ubuntu18.04ROS-melodic 官网找到L2系列的产品 SDK下载:下载中心 L2 - 宇树科技 激光雷达使用 下载unilidar_sdk2-2.0.4.zip,解压只用到unitree_lidar_sdkunitree_lidar_ros(ROS1)。 L2有两个工作模式:网口…

Linux 下 MySQL 8 搭建教程

一、下载 你可以从 MySQL 官方下载地址 下载所需的 MySQL 安装包。 二、环境准备 1. 查看 MySQL 是否存在 使用以下命令查看系统中是否已经安装了 MySQL: rpm -qa|grep -i mysql2. 清空 /etc/ 目录下的 my.cnf 执行以下命令删除 my.cnf 文件: [roo…

Docker配置代理,以保证可以快速拉取镜像

序言 本来不想写了,然后记笔记了,但是今天遇到这个问题了再一次,还是写一写吧,加深一下印象 因为Docker被墙了,所以拉取Docker镜像的时候,需要通过代理的方式 xxxxxxxxxx,此处省略十几个字,然…

解决启动Vue项目时遇到的 error:0308010C:digital envelope routines::unsupported 错误

问题描述 最近,在启动一个遗留前端(Vue)项目时,遇到了error:0308010C:digital envelope routines::unsupported错误。 95% emitting CompressionPlugin ERROR Error: error:0308010C:digital envelope routines::unsupported Error: error:0308010C:d…