MySQL与JDBC之间的SQL预编译技术讲解

目录
  • 先说一下SQL预编译的好处吧
  • 下面贴上MySQL官方文档截图
  • 两种实现进行基准测试
  • 客户端实现是否存在SQL注入风险呢?
  • 总结

先说一下SQL预编译的好处吧

  • 减少每次执行语句时解析语句的开销。 通常,数据库应用程序处理大量几乎相同的语句,只对语句中的文字值或变量值进行更改
  • 防止SQL注入攻击。 参数值可以包含未转义的SQL引号和分隔符。

不过在这之前我一直以为JDBC预编译技术是依赖数据库MySQL实现,现在才知道SQL预编译也是分服务端和客户端实现的。

JDBC默认是客户端处理SQL预编译的,如果向指定用服务端SQL预编译的话,可以在数据源连接上配置useServerPrepStmts=true,这样就可以开启服务端SQL预编译。

当然这也是要服务端支持SQL预编译,拿MySQL5.7以上来讲是支持的。

下面贴上MySQL官方文档截图

如何验证SQL预编译是用得服务端实现还是客户端实现呢,这里参考了一篇文章点击文字即可查看。

我这里我大概说一下,以MySQL为例就是开始general_log日志,general_log日志会记录哭客户端发给服务器的SQL,这里我没就能有关参考对比了。

注意:general_log开启会产生大量日志,没有特殊情况不要在生产环境开启

同样阅读MySQL官方文档sql-prepared-statements部分,发现MySQL实现服务端预编译是专门提供了几个语法支持的如下:

两种实现进行基准测试

这里在提供预编译技术服务端实现 && 客户端实现的基准测试供大家参考:

机器配置:

  • 系统:Windows10
  • CPU:AMD Ryzen 5 4600U with Radeon Graphics 2.10 GHz
  • 内存:24.0 GB
  • 磁盘:500GB SSD
  • MySQL 用的是默认配置

结果很意外以为服务端实现应该性能要好一些,实测居然是客户端实现要好一些,不过相差微乎其微,具体如下图:

客户端实现是否存在SQL注入风险呢?

我们用代码验证一下

执行方法后查看mysql日志

我们可以看到客户端预编译也是可以保障SQL注入风险的

我们顺带看看服务端预编译是怎么样的呢?

也是没有问题。

总结

  • SQL预编译区分客户端/服务端实现
  • 以及对两种实现进行了基准测试,客户端SQL预编译以微弱的性能胜出,当然这个结果只能当个参考不能以偏概全
  • 测试了客户端实现的SQL注入问题,测试结果通过

文末提供几个MySQL官方文档对SQL预编译说明链接有兴趣的小伙伴可以点击阅读

以上为个人经验,希望能给大家一个参考,也希望大家多多支持我们。

(0)

相关推荐

  • 一文搞懂MySQL预编译

    1.预编译的好处 大家平时都使用过JDBC中的PreparedStatement接口,它有预编译功能.什么是预编译功能呢?它有什么好处呢? 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句.其中校验语法,和编译所花的时间可能比执行SQL语句花的时间还要多. 如果我们需要执行多次insert语句,但只是每次插入的值不同,MySQL服务器也是需要每次都去校验SQL语句的语法格式,以及编译,这就浪费了太多的时

  • MySQL预编译功能详解

    本文为大家分享了MySQL预编译功能,供大家参考,具体内容如下 1.预编译的好处 大家平时都使用过JDBC中的PreparedStatement接口,它有预编译功能.什么是预编译功能呢?它有什么好处呢? 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句.其中校验语法,和编译所花的时间可能比执行SQL语句花的时间还要多. 如果我们需要执行多次insert语句,但只是每次插入的值不同,MySQL服务器也是需

  • mysqli预处理编译的深入理解

    记得以前php点点通也写过mysqli的预处理的php教程,那时候只是看书乱写的,没懂原理,数月过后,突然明白了很多: 想想看.假如我们要插入很多1000个用户,你怎么做,for循环?还是mysqli处理多条sql? no!这些处理很慢的,php里面有很多操作mysql数据库的函数,无非是把sql语句传递给mysql数据库,真正处理sql语句的是mysql,mysql数据库是要编译sql语句进行执行的,上面这两种操作会对相同的sql语句进行多次编译,有这必要吗?程序员总是很聪明的,于是有了mys

  • MySQL数据库JDBC编程详解流程

    目录 一.数据库编程的必备条件 二.Java的数据库编程:JDBC 三.JDBC工作原理 四.JDBC开发步骤 五.JDBC操作步骤 六.优化JDBC的部分代码 1.获取数据库连接对象 2.操作命令对象Statement 3.ResultSet对象 4.总结 一.数据库编程的必备条件 编程语言: 如Java.C++.C.Python等 数据库: 如Oracle.MySQL.SQL Server等 数据库驱动包: 不同的数据库,要使用编程语言来操作时,就需要使用该数据库厂商提供的数据库驱动包. 如

  • MySQL与JDBC之间的SQL预编译技术讲解

    目录 先说一下SQL预编译的好处吧 下面贴上MySQL官方文档截图 两种实现进行基准测试 客户端实现是否存在SQL注入风险呢? 总结 先说一下SQL预编译的好处吧 减少每次执行语句时解析语句的开销. 通常,数据库应用程序处理大量几乎相同的语句,只对语句中的文字值或变量值进行更改 防止SQL注入攻击. 参数值可以包含未转义的SQL引号和分隔符. 不过在这之前我一直以为JDBC预编译技术是依赖数据库MySQL实现,现在才知道SQL预编译也是分服务端和客户端实现的. JDBC默认是客户端处理SQL预编

  • 一文说透什么是MySQL的预编译

    目录 一.什么是MySQL的预编译? 二. 如何使用预编译? 2.1 MySQL预编译的语法 三.使用PreparedStatement进行预编译 3.1 开启查询日志 3.2 开启预编译功能 3.3 cachePrepStmts参数 四.Statement是否具备预编译功能? 五.总结 一.什么是MySQL的预编译? 通常我们发送一条SQL语句给MySQL服务器时,MySQL服务器每次都需要对这条SQL语句进行校验.解析等操作. 但是有很多情况下,我们的一条SQL语句可能需要反复的执行,而SQ

  • JDBC之PreparedStatement类中预编译的综合应用解析

    预编译的优点1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程. 2.使用 Statement 对象.在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理.PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处. 3.statement每次执行sql语句,相关数据库都要执行sql语句的编译,preparedstatement是预编译得,   preparedstatement支

  • MySQL数据库 JDBC 编程(Java 连接 MySQL)

    目录 1. 数据库编程的基础条件 2. Java 的数据库编程:JDBC 3. JDBC 访问数据库的层次结构 4. MySQL 数据库操作介绍 5. MySQL 驱动包的下载及添加到项目 6. JDBC 使用步骤 6.1 创建数据库源,连接 Connection 6.2 构造 SQL 语句,为执行的操作做准备 6.3 执行 SQL,并处理结果集 6.4 释放资源 6.5 JDBC 编程模板 7. JDBC 常用接口和类 7.1 DataSource 和 MysqlDataSource 7.2

  • 一文搞懂Java JDBC中的SQL注入问题

    目录 SQL注入 什么是SQL注入 SQL注入的效果的演示 SQL注入代码 SQL注入效果 如何避免SQL注入 PrepareStatement解决SQL注入 PreparedStatement的应用 参数标记 动态参数绑定 综合案例 PreparedStatement总结 必须使用Statement的情况 SQL注入 什么是SQL注入 在用户输入的数据中有SQL关键字或语法,并且关键字或语法参与了SQL语句的编译.导致SQL语句编译后的条件为true,一直得到正确的结果.这种现象就是SQL注入

  • sql server 编译与重编译详解

    SQLSERVER编译与重编译 编译的含义 当SQLSERVER收到任何一个指令,包括查询(query).批处理(batch).存储过程.触发器(trigger) .预编译指令(prepared statement)和动态SQL语句(dynamic SQL Statement)要完成语法解释.语句解释, 然后再进行"编译(compile)",生成能够运行的"执行计划(execution plan)".在编译的过程中, SQLSERVER会根据所涉及的对象的架构(sc

  • centos7安装mysql并jdbc测试实例详解

    centos7安装mysql并jdbc测试实例详解 前言: 之前用rpm安装方式安装不成功,换成yum安装之后安装ok了,在网上搜索到很多的rmp安装和tar包安装的方式,但是是centos7.x与centos6.x做了很大的改变,可能别人的6.x不适合7.x的安装,尤其是对于像博主一样的新人来说,照搬教程可能导致安装不成功,如果你rmp安装失败,那么尝试跟着本教程来吧. 先卸载已经存在的MySQL. [root@shizongger bin]# rpm -qa|grep mysql [root

随机推荐