在将变量插入Java数据库之前,推荐使用哪种方法来转义变量?
据我所知,我可以使用PreparedStatement.setString()来转义数据,但如果我不打算再次运行相同的查询,那么PreparedStatement似乎有点不切实际.有没有更好的方法来做而不准备每个查询?
是的,使用预先准备好的陈述.
他们被解析了一次.
他们免受SQL注入攻击.
它们是一个更好的设计,因为你必须考虑你的SQL以及如何使用它.
如果你认为它们只使用过一次,你就不会看大局了.有一天,您的数据或应用程序将发生变化.
编辑.
为什么准备好的语句会让你考虑你的SQL?
组装字符串(或只是执行文本文本块)时,您不会创建新PreparedStatement
对象.你只是在执行SQL - 它可以非常随意地完成.
当你必须创建(并保存)a时PreparedStatement
,你必须更多地考虑封装,责任分配.在执行任何SQL处理之前,语句的准备是一个有状态事件.
额外的工作很小,但并非微不足道.这是导致人们开始考虑ORM和数据缓存层的原因,以及优化数据库访问的类似因素.
使用Prepared语句,数据库访问不那么随意,更有意思.
您永远不应该使用字符串连接自己构造SQL查询.在构造SQL查询时,不应手动转义变量/用户数据.所需的实际转义因您的基础数据库而异,并且在某些时候某人会忘记逃避.
关键在于:使用预处理语句,无法创建SQL可注入语句.通过自定义转义,这是可能的.选择很明显.