`

预编译防sql注入

oraclesql 
阅读更多
prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。
createStatement不会初始化,没有预处理,没次都是从0开始执行SQL

以Oracle为例吧
Statement为一条Sql语句生成执行计划,
如果要执行两条sql语句
select colume from table where colume=1;
select colume from table where colume=2;
会生成两个执行计划
一千个查询就生成一千个执行计划!

PreparedStatement用于使用绑定变量重用执行计划
select colume from table where colume=:x;
通过set不同数据只需要生成一次执行计划,可以重用

是否使用绑定变量对系统影响非常大,生成执行计划极为消耗资源
两种实现 速度差距可能成百上千倍

Statement 每次执行sql语句,数据库都要执行sql语句的编译 ,最好用于仅执行一次查询并返回结果的情形,效率高于PreparedStatement.

预编译能避免SQL注入,后者不行


PreparedStatement是预编译的,使用PreparedStatement有几个好处

a. 在执行可变参数的一条SQL时,PreparedStatement比Statement的效率高,因为DBMS预编译一条SQL当然会比多次编译一条SQL的效率要高。

b. 安全性好,有效防止Sql注入等问题。

c.  对于多次重复执行的语句,使用PreparedStament效率会更高一点,并且在这种情况下也比较适合使用batch;

d.  代码的可读性和可维护性。



CallableStatement接口扩展 PreparedStatement,用来调用存储过程,它提供了对输出和输入/输出参数的支持。CallableStatement 接口还具有对 PreparedStatement 接口提供的输入参数的支持。
分享到:
| Spring2.5.6+Struts2.1.6+Hibernate3.2升级 ...
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    防止sql注入解决方案

    防止sql注入引起的网络安全的解决措施采用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setString方法传值即可:

    安全编译代码,防止sql注入

    安全编译代码,防止sql注入,防止网站被黑。防止sql注入,数据库数据丢失。

    SQL.预编译.docx

    SQL预编译 ibatis中如何解决sql注入问题,资料参考

    sql注入预防,参数化预编译示例

    sql注入防护,预编译示例

    如何防止SQL注入.pdf

    防止SQL注入主要依赖于以下几种方法: 1. 使用参数化查询(预编译语句) 参数化查询是防止SQL注入的最有效手段之一。通过使用预编译语句(例如,在Java中使用PreparedStatement),可以确保用户输入被当作参数处理...

    参数化查询为什么能够防止SQL注入

    很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到...

    Python实现自动sql注入

    作为开发者或用户,我们应该采取措施来防止SQL注入攻击,而不是去实现自动化工具来进行注入。以下是一些常见的防御措施: 使用参数化查询(Prepared Statements):使用预编译的SQL语句和参数绑定,而不是直接将...

    mybatis知识点总结.docx

    MyBatis知识点总结 MyBatis是一款优秀的持久层框架,为Java应用程序提供了数据库访问的灵活性和高度可控性。以下是关于MyBatis的一些重要知识...使用${}和#{}来插入参数,其中${}会直接替换,#{}会被预编译防止SQL注入

    mybatis笔记.zip

    使用${}和#{}来插入参数,其中${}会直接替换,#{}会被预编译防止SQL注入。 5. 参数映射: 参数映射使用#{}或${}来引用参数,#{}使用PreparedStatement,$${}直接替换。 6. 结果映射: 结果映射将查询结果映射到

    关于防止sql注入的几个知识点

    但是如果查询的其他部分是由未转义的输入来构建的,则仍存在sql注入的风险。  1.3:另外pdo预处理无效的地方:  1.3.1:limit语句  1.3.2:like%?%.不能这么使用,占位符必须代表整个字符。所以可以这

    Java-Edge#Java-Interview-Tutorial#SQL注入1

    解决sql注入sql预编译在服务器启动时,mysql client把sql语句模板(变量采用占位符)发给mysql服务器,mysql服务器对sql语句模板进行编

    CodeQL 闭源应用创建数据库 & SQL注入1

    java-decompiler,指定保存的目录需要手动创建rem 反编译class文件rem 需要先创建保存的目录out_filename编译列出ecj和jav

    使用PDO防sql注入的原理分析

    本文使用pdo的预处理方式可以避免sql注入。下面话不多说了,来一起看看详细的介绍吧 在php手册中’PDO–预处理语句与存储过程’下的说明: 很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句?可以把它...

    PHP防止sql注入小技巧之sql预处理原理与实现方法分析

    本文实例讲述了PHP防止sql注入小技巧之sql预处理原理与实现方法。分享给大家供大家参考,具体如下: 我们可以把sql预处理看作是想要运行的 SQL 的一种编译过的模板,它可以使用变量参数进行定制。 我们来看下它有...

    简述各种SQL注入攻防.docx

    简述各种SQL注入攻防. 1. 什么是输入 输入是编译时以外的全部数据交换。WEB应用程序从各种来源获取输入,例如所有用户发送的,或者应用程序运行的往返数据(用户提交的数据、视图状态、 cookie、查询字符串参数等...

    SQLServer注入程序Delphi无控件版

    id=169"如果169为文字型,也可注入,而且 程序没有使用三方控件,方便编译,使用时请按照获取[SQL Server信息]、[获取表名]、[获取列名]、[获取数据]的顺序进行操作,左边的TTReeView右击弹出菜单可以创建多个对象,...

    SQL Server注入工具改进版.rar

    SQL Server注入工具改进版 1.02版改进: 1.增加了对"asp?id=169",如果169为文字型,也可注入 2.去除了不必要的RzMenuButton控件,大家容易编译 本程序只供测试研究使用,由此软件造成的后果一概不负责任。 功能介绍...

    SQLServer注入工具改进版 v1.02

    1.02版改进:1.增加了对"asp?id=169",如果169为文字型,也可注入。2.去除了不必要的RzMenuButton控件,大家容易编译。...作者:朗腾软件 QQ:46530857 欢迎一起交流DELPPHI编程及SQL注入2005-2-4

    SQL入门常见问题总结与实用技巧介绍.docx

    以下是一份SQL开发常见技巧的Word大纲格式列表: SQL基础技巧 规范书写: ...在必要时使用参数化查询防止SQL注入,同时保证性能。 适当地使用预编译SQL语句提高执行效率。 存储过程与函数: 编写高

Magicbox
Global site tag (gtag.js) - Google Analytics