我应该对 Java 中的所有数据库插入使用PreparedStatements 吗？

Question

在 Java 中将变量插入数据库之前转义变量的推荐方法是什么？

据我了解，我可以使用PreparedStatement.setString()来转义数据，但是如果我不打算再次运行相同的查询，PreparedStatement似乎有点不切实际。是否有更好的方法可以在不准备每个查询的情况下做到这一点？

Answer 1

是的，对所有事情都使用准备好的语句。

1. 它们被解析一次。

2. 它们不受 SQL 注入攻击。

3. 它们是更好的设计，因为您必须考虑 SQL 及其使用方式。

   它们是更好的设计，因为

如果您认为它们只使用一次，那么您就没有看到大局。 有一天，您的数据或您的应用程序将会改变。

---

编辑。

为什么准备好的语句会让您思考 SQL？

• 当您组装字符串（或只是执行文本文本块）时，您并没有创建新的 PreparedStatement 对象。 您只是执行 SQL —— 可以非常随意地完成。

• 当您必须创建（并保存）一个PreparedStatement时，您必须多考虑一点关于封装和责任分配的问题。 语句的准备是执行任何 SQL 处理之前的有状态事件。

额外的工作虽然很小，但并非微不足道。 这使得人们开始考虑 ORM 和数据缓存层以及类似的东西来优化他们的数据库访问。

使用准备好的语句，数据库访问不再是随意的，而是更加有意的。

Answer 2

您永远不应该使用字符串连接自己构建 SQL 查询。 构建 SQL 查询时，切勿手动转义变量/用户数据。 实际所需的转义取决于您的底层数据库，并且在某些时候有人会忘记转义。

要点是：使用准备好的语句，不可能创建 SQL 可注入语句。 通过自定义转义，这是可能的。 选择是显而易见的。

Answer 3

准备一份声明并不那么昂贵。 它比大多数替代品更安全。

Answer 4

我听说过这样的论点：PreparedStatement 比普通的 Statement 花费了一些额外的开销，并且如果我不将用户输入连接到查询中，它应该是安全的。 这可能是真的，但额外的成本并没有那么多，而且 SQL 查询会随着时间的推移而变化。 如果您今天开始使用语句，因为您已经向自己证明您的查询是防注入的，那么当维护程序员更改 SQL 以接受用户输入但不接受用户输入时，您就会陷入失败。考虑将该Statement更改为PreparedStatement。 我的建议是始终使用PreparedStatement 来避免麻烦出现。

Answer 5

更好的是，不要直接使用 JDBC API，因为它很容易出错（例如，在所有情况下都无法正确清理所有资源）。 使用 JDBC 帮助程序对象（例如 Spring 的 JdbcOperations 接口），这可以显着减少代码的大小和错误。 如果您仅使用 Spring 来实现这一功能，那么与直接使用 JDBC API 相比，您仍然帮了自己很大的忙。