当前位置:  开发笔记 > 编程语言 > 正文

我是否应该将PreparedStatements用于Java中的所有数据库插入?

如何解决《我是否应该将PreparedStatements用于Java中的所有数据库插入?》经验,为你挑选了2个好方法。

在将变量插入Java数据库之前,推荐使用哪种方法来转义变量?

据我所知,我可以使用PreparedStatement.setString()来转义数据,但如果我不打算再次运行相同的查询,那么PreparedStatement似乎有点不切实际.有没有更好的方法来做而不准备每个查询?



1> S.Lott..:

是的,使用预先准备好的陈述.

    他们被解析了一次.

    他们免受SQL注入攻击.

    它们是一个更好的设计,因为你必须考虑你的SQL以及如何使用它.

如果你认为它们只使用过一次,你就不会看大局了.有一天,您的数据或应用程序将发生变化.


编辑.

为什么准备好的语句会让你考虑你的SQL?

组装字符串(或只是执行文本文本块)时,您不会创建新PreparedStatement对象.你只是在执行SQL - 它可以非常随意地完成.

当你必须创建(并保存)a时PreparedStatement,你必须更多地考虑封装,责任分配.在执行任何SQL处理之前,语句的准备是一个有状态事件.

额外的工作很小,但并非微不足道.这是导致人们开始考虑ORM和数据缓存层的原因,以及优化数据库访问的类似因素.

使用Prepared语句,数据库访问不那么随意,更有意思.



2> Mike Weller..:

您永远不应该使用字符串连接自己构造SQL查询.在构造SQL查询时,不应手动转义变量/用户数据.所需的实际转义因您的基础数据库而异,并且在某些时候某人会忘记逃避.

关键在于:使用预处理语句,无法创建SQL可注入语句.通过自定义转义,这是可能的.选择很明显.

推荐阅读
ar_wen2402851455
这个屌丝很懒,什么也没留下!
DevBox开发工具箱 | 专业的在线开发工具网站    京公网安备 11010802040832号  |  京ICP备19059560号-6
Copyright © 1998 - 2020 DevBox.CN. All Rights Reserved devBox.cn 开发工具箱 版权所有