Discussoes de Programacao e Tecnologia

O que é PreparedStatement e para que serve?

5 respostas
L
lucas_mnzs

Fala galera,

to iniciando meus estudos sobre java com as apostilas da Caelum fj-11 e fj-21 e me deparei com essa dúvida. Pesquisei no fórum mas não consegui entender o que é e qual a finalidade da Interface(??) PreparedStatement. Se alguém puder me ajudar eu agradeço.

Obs.: Não sei se já existe o tópico, li alguns mas não entendi por isso abri um artigo novo

Alura Git Flow: entenda o que é, como e quando utilizar Entenda o que é Git Flow, como funciona seu fluxo com branches como Master, Develop, Feature, Release e Hotfix, além de vantagens e desvantagens.

5 Respostas

T
thingol 1 like

Se você viu um comando SQL, vai perceber que normalmente os comandos (SELECT, INSERT, UPDATE etc.) têm uma parte fixa e uma parte variável. Por exemplo,

SELECT * FROM alunos WHERE nome = ‘José’

ou

SELECT * FROM alunos WHERE nome = ‘Maria’

Você viu que só varia o nome ‘José’ ou ‘Maria’.

A maior parte dos bancos de dados SQL trabalha melhor se você, em vez de ficar montando sempre consultas SQL diferentes, você passar uma consulta FIXA e variar só os dados. A tal “consulta fixa” é o que deu motivação para o PreparedStatement. Por exemplo, eles sempre entendem algo parecido com isto aqui:

SELECT * FROM alunos WHERE nome = ?

onde ? é ‘José’ ou ‘Maria’ ou o que você precisar consultar.

Note que são os dados que variam, não o nome das colunas. Então isto aqui:

SELECT * FROM alunos WHERE ? = ‘Aristodemo’

e você quiser fazer ? = nome_professor, não funciona.

O ? sempre é usado para dados, não nome de colunas ou tabelas.

L
lucas_mnzs

Então a intenção é usar um código sql genérico para não ter que reescrever cada vez que for dar um INSERT, DELETE etc ???

T
thingol

Não é tão “genérico” assim; isso porque só variam os valores dos dados, não os nomes das colunas ou das tabelas. Mas isso já garante 2 coisas:
a) O banco SQL pode trabalhar mais rapidamente - tanto pela otimização das consultas fixas, quanto pela otimização (que vários bancos usam) de poder enviar os dados em binário, em vez de texto;
b) Você não precisa se preocupar com formatação de dados para passar para o banco. Por exemplo, se uma string contém aspas (“Sant’anna”) isso dá pau se você for montar a string SQL, mas com “prepared statements” o próprio driver já toma conta desses problemas (aspas, caracteres especiais, quebras de linha etc.) porque normalmente os dados já são passados em binário. Se você tem um dado numérico, tanto faz se você está trabalhando com o Windows em inglês, português ou árabe; o “prepared statement” aceita diretamente os números, em vez de ter de converter para números no formato americano, que é o que normalmente o SQL requer.

L
lucas_mnzs

Legal, então ela trata SQL Injection também ?

Valeu pela ajuda cara!

T
thingol

Uma das maneiras de minorar os problemas com SQL Injection é usar cuidadosamente os PreparedStatements.

http://www.owasp.org/index.php/Preventing_SQL_Injection_in_Java

Obviamente, se você usar os PreparedStatements toscamente como no exemplo dado no link acima, você vai acabar tendo uma SQL Injection.

Criado 3 de agosto de 2009
Ultima resposta 3 de ago. de 2009
Respostas 5
Participantes 2

Topicos relacionados

Inglês Fluente passou a ser requisito obrigatório para contratação para desenvolvedor Java 89 respostas Pirataria NÂO! 53 respostas Alguem sabe como verificar o título de eleitor em java? 7 respostas Ano do lançamento do spring 22 respostas Problema para pular linha no textArea 4 respostas
Casa do Codigo Casa do Codigo — Livros de tecnologia Livros de programacao, infraestrutura e inovacao
Fiap Graduacao em Tecnologia — FIAP Analise e Desenvolvimento de Sistemas, Engenharia de Software e mais