- 一、前言
- 二、Java生态系统
- 三、Java程序的基本结构
- 四、数据类型与变量
- 五、操作符与运算
- 六、表达式(Expression)与语句(Statement)
- 七、类型转换与提升(Type Conversion and Promotion)
- 八、if语句(If Statement)
- 九、switch语句
- 十、while语句和do-while语句
- 十一、for循环语句
- 十二、break语句和continue语句
- 十三、Java关键字 (Java Keywords)
- 十四、Java小测验(一)
- 十五、Java小测验(二)
- 十六、面向对象程序设计
- 十七、接口(Interface)
- 十八、标注(Annotation)
- 十九、继承(Inheritance)
- 二十、Java语言为什么不支持多重继承(Multi-Inheritance )
- 二十一、多态(Polymorphism)
- 二十二、多态(Polymorphism)的实现与Virtual Table
- 二十三、与命名冲突相关的五个重要概念
- 二十四、函数签名相等性(Override-Equivalent Signatures)
- 二十五、Try语句
- 二十六、Java异常类型
- 二十七、装箱转换(Boxing)和拆箱转换(Unboxing)
- 二十八、枚举
- 二十九、数组
- 三十、字符串类(String)
- 三十一、对象释放过程(Object Finalization)
- 三十二、对象复制(Object Cloning)
- 三十三、对象相等性(Object Equality)
- 三十四、包(Package)与模块(Module)
- 三十五、反射机制(Reflection)
- 三十六、可变参数(Varargs)和堆污染(Heap Pollution)
- 三十七、Java小测验(六)
- 三十八、Java小测验(七)
- 三十九、Java并发编程概述
- 四十、Java线程的创建和销毁
- 四十一、Java多线程的复杂性
- 四十二、Java 线程同步与关键字synchronized
- 四十三、Wait和Notify机制
- 四十四、原子类与并发容器
- 四十五、Java锁(Lock)与信号量(Semaphore)
- 四十六、Java异步执行机制和Callable/Future接口
- 四十七、线程池(Thread Pool)和ExecutorService接口
- 四十八、CountDownLatch, CyclicBarrier, Phaser 和 Exchanger
- 四十九、关键字volatile
- 五十、关键字final
- 五十一、Java虚拟机概述
- 五十二、Java虚拟机初始化过程
- 五十三、Java类加载器(Class Loader)
- 五十四、Java类文件结构(Structure of .class File)
- 五十五、Java虚拟机的内存布局
- 五十六、Java虚拟机的垃圾回收机制(Garbage Collection)
- 五十七、Java虚拟机的解释器与指令集(JVM Interpreter and Instruction Set)
- 五十八、Java虚拟机的解释器与指令集之函数调用(JVM Interpreter and Function Call)
- 五十九、invokedynamic指令与Lambda表达式的实现
- 六十、Java虚拟机调优(JVM Tuning)
- 六十一、Java泛型编程(Java Generics)
- 六十二、Java泛型类(Java Generic Classes)
- 六十三、类型擦除(Type Erasure)
- 六十四、Lambda表达式
- 六十五、Method Reference表达式
- 六十六、Functional Interface
- 六十七、Apache Maven
- 六十八、Gradle
- 六十九、Java编程规范
- 七十、Checkstyle
- 七十一、PMD
- 七十二、日志(Logging)
- 七十三、SLF4J日志库
- 七十四、单元测试框架JUnit
- 七十五、Mocking框架MMockito
- 七十六、Jackson之一
- 七十七、Jackson之二
- 七十八、Jackson之三
- 七十九、Jackson之四
- 八十、数据库应用程序(Database Applications)
- 八十一、JDBC(Java Database Connectivity)
- 八十二、JDBC基本使用方法
- 八十三、Statement接口的基本使用方法
- 八十四、PreparedStatement接口的基本使用方法
- 八十五、CallableStatement接口的基本使用方法
- 八十六、事务处理(Transaction Processing)
- 八十七、"大"对象Blob与Clob
- 八十八、"数据源(DataSource)与数据库连接池(DB Connection Pool)
- 八十九、"JDBC与Spreadsheet文档、XML文档
- 九十、Fail-Fast迭代器和Fail-Safe迭代器
- 九十一、Java标准库-容器(Collection)
- 九十二、Java标准库-链表(List)
- 九十三、Java标准库-集合(Set)
- 九十四、Java标准库-栈(Stack)
- 九十五、Java标准库-队列(Queue)
- 九十六、Java标准库-映射(Map)
第八十章 PreparedStatement接口的基本使用方法
1. 简介
我们在上一章介绍了Statement接口的用法;开发人员通过使用Statement接口能够在数据库中查询、添加、修改和删除数据。为了进一步提高数据操作的性能和安全性,JDBC框架还提供了PreparedStatement接口。一般来说,如果需要反复执行同一条SQL语句的话(只是参数的值不同),PreparedStatement能够提供更好的性能。
PreparedStatement接口继承自Statement接口,因此,PreparedStatement支持Statement接口的大部分功能。与Statement接口不同的是,PreparedStatement具备以下优势。
- 性能优势。SQL语句的运行大致可分为两个步骤。首先,第一步是解析和校验SQL语句,检查SQL语句是否符合语法结构。第二步是运行SQL语句。当使用Statement接口时,每执行一条SQL语句,都会运行上述的两个步骤。但是,当使用PreparedStatement接口时,该接口会首先预编译SQL语句;然后再运行SQL语句。这样做的好处是,如果当需要重复执行一条SQL语句时(SQL语句结构相同,但参数值不同),使用PreparedStatement接口只需要解析和编译SQL语句一次。在第二次或者后续的运行中,PreparedStatement不会再检验SQL语句的结构;她会直接运行SQL语句。因此,使用PreparedStatement接口能够获得性能上的提升。值得注意的是,如果执行的SQL语句的结构都不相同的话,使用PreparedStatement接口并不能提升性能,因为每次运行时都需要预编译新的SQL语句。
- 使用PreparedStatement更加安全。使用PreparedStatement能够帮助开发人员抵御SQL注入攻击(SQL Injection Attack)。SQL注入攻击是一种通过在用户输入中使用"特殊"参数值来获得额外数据或者破坏系统的一种攻击方式。因为,SQL注入攻击的来源是用户输入的数据,因此,PreparedStatement对注入SQL语句的参数取值有着非常严格的校验。
2. 使用方法
2.1 数据查询
PreparedStatement对象是从java.sql.Connection接口创建出来的。如下面的代码示例所示,开发人员需要使用Connection::prepareStatement()方法创建PreparedStatement对象。在调用该方法时,需要传入一个SQL语句;在该SQL语句中可以直接设置变量的取值,或者使用问号?作为占位符(Place Holder),其值可在后续操作中设置。
在这段代码示例中,我们首先创建了一个字符串对象query,表示查询语句。在查询语句的where子句(where clause)中,我们直接指定查询女学生(gender = 'female'),但是将分数的值留在后续确定。因此,在"grade > ?"的条件中使用了占位符"?"。
当创建出PreparedStatement对象后,这个对象代表的是已经编译了的查询语句(pre-compiled query statement)。我们在示例中执行了两个查询,分别将分数设置在90分和85分,时间设置在2020年。在这个过程中,PreparedStatement是可以重复使用的。在第一次查询时,我们通过调用setInt()方法设置了分数和年份。setInt()方法的第一个参数是查询语句中参数的序号。例如,setInt(1, 90)的意义是将查询语句中第一个参数的值设置为90;即将分数的值设置为90。setInt(2, 2020)的意义是将查询语句中第二个参数的值设置为2020。依次类推。参数的序号从1开始。
当运行第二个查询时,我们只需要修改分数的取值就可以了,因为年份的取值不变,已经在第一次的查询中设置为2020了。所以,在第二次查询中不需要再次设置。executeQuery()方法返回一个ResultSet对象,用于表示查询的结果。我们已在前一章介绍Statement接口时详细讲解了ResultSet对象的使用方法,此处不再累述。
...
// 查询成绩高于某一阈值的所有女学生的姓名
String query = "SELECT name FROM student where gender = 'female' and grade > ? and year = ? ";
try (PreparedStatement stmt = con.prepareStatement(query)) {
// 查询在2020年成绩高于90分的所有女学生的姓名
stmt.setInt(1, 90);
stmt.setInt(2, 2020);
ResultSet rs1 = stmt.executeQuery();
...
// 查询在2020年成绩高于85分的所有女学生的姓名
stmt.setInt(1, 85);
ResultSet rs2 = stmt.executeQuery();
...
}
另一种常见的使用场景是将查询的参数存放在一个数组或者Map中,通过一个循环来设置其值。
...
// 查询成绩高于某一阈值的所有女学生的姓名
String query = "SELECT name FROM student where gender = 'female' and grade > ? and year = ? ";
Object[] paramsInArray = new Object[2];
paramsInArray[0] = Integer.valueOf(90);
paramsInArray[1] = Integer.valueOf(2020);
try (PreparedStatement stmt = con.prepareStatement(query)) {
// 查询在2020年成绩高于90分的所有女学生的姓名
for (int i = 0; i < paramsInArray.length; i++) {
stmt.setObject(i+1, paramsInArray[i]);
}
ResultSet rs = stmt.executeQuery();
...
}
Map<Integer, Object> paramsInMap = new HashMap<Integer, Object>();
paramsInMap[1] = Integer.valueOf(90);
paramsInMap[2] = Integer.valueOf(2020);
try (PreparedStatement stmt = con.prepareStatement(query)) {
// 查询在2020年成绩高于90分的所有女学生的姓名
// 关键字var在Java 11中引入,会自动检查变量的类型
for (var entry: paramsInMap.entrySet()) {
stmt.setObject(entry.key(), entry.value());
}
ResultSet rs = stmt.executeQuery();
...
}
2.2 数据增、删、更新操作
与数据查询操作类似,PreparedStatement接口也能运行Insert、Delete和Update语句。开发人员也能在语句中使用占位符暂时替代真实的值。PreparedStatement常常用于执行多个Insert语句或者Update语句。
例如,在下面的示例中,我们向数据库新增三名学生信息。
...
String insertStatement = "INSERT INTO student VALUES (?, ?, ?, ?)";
try (PreparedStatement stmt = con.prepareStatement(insertStatement)) {
/*
* Students:
* id, name, gender, grade
* 0001, Adam, Male, 90
* 0002, Amy, Female, 85
* 0003, David, Male, 80
*/
stmt.setInt(1, 0001);
stmt.setString(2, "Adam");
stmt.setString(3, "Male");
stmt.setInt(4, 90);
stmt.execute();
stmt.setInt(1, 0002);
stmt.setString(2, "Amy");
stmt.setString(3, "Female");
stmt.setInt(4, 85);
stmt.execute();
stmt.setInt(1, 0003);
stmt.setString(2, "David");
stmt.setString(3, "Male");
stmt.setInt(4, 80);
stmt.execute();
}
在插入新数据之后,可能出于某些原因,我们需要更改一些信息,如下面的例子所示。
...
String updateStatement = "UPDATE student SET grade = ? WHERE id = ?";
try (PreparedStatement stmt = con.prepareStatement(updateStatement)) {
// 将学号为0001的学生的分数修改为95
stmt.setInt(1, 95);
stmt.setInt(2, 0001);
stmt.execute();
// 将学号为0002的学生的分数修改为90
stmt.setInt(1, 90);
stmt.setInt(2, 0002);
stmt.execute();
// 将学号为0003的学生的分数修改为85
stmt.setInt(1, 85);
stmt.setInt(2, 0003);
stmt.execute();
}
如果我们需要删除一些数据的话,也可以使用PreparedStatement接口,如下面的例子所示。
...
String deleteStatement = "DELETE FROM student WHERE id = ?";
try (PreparedStatement stmt = con.prepareStatement(deleteStatement)) {
// 删除学号为0001的学生的记录
stmt.setInt(1, 0001);
stmt.execute();
// 删除学号为0002的学生的记录
stmt.setInt(1, 0002);
stmt.execute();
// 删除学号为0003的学生的记录
stmt.setInt(1, 0003);
stmt.execute();
}
2.3 批处理比较
Statement接口支持使用addBatch()和executeBatch()来批处理执行大量的SQL语句。这种批处理方式支持运行大量的不同的SQL语句。这些SQL语句可以是查询、新增(Insert)、删除(Delete)或者更新(Update)语句。虽然PreparedStatement继承自Statement,但是,PreparedStatement不支持这种批处理。
PreparedStatement的性能优势在于执行多个结构相同的SQL语句。这些SQL语句结构和语义相同;它们只是使用的参数的值不同而已。因为在第一次运行这些语句时,PreparedStatement预编译了这些语句的结构,所以,在后续使用中,可以节省SQL语句校验的时间。
3. 小结
本章介绍了PreparedStatement的基本使用方法。在批量运行相同结构的SQL语句时,PreparedStatement能提升SQL运行的性能。另外,PreparedStatement接口能帮助开发人员预防SQL注入攻击。
上一章
下一章
注册用户登陆后可留言