1、JDBC的预编译用法

相信每个人都应该了解JDBC中的PreparedStatement接口,它是用来实现SQL预编译的功能。其用法是这样的:

Class.forName("com.mysql.jdbc.Driver");
String url = "jdbc:mysql://127.0.0.1:3306/mybatis";
String user = "root";
String password = "123456";
//建立数据库连接
Connection conn = DriverManager.getConnection(url, user, password);

String sql = "insert into user(username, sex, address) values(?,?,?)";
PreparedStatement ps = conn.preparedStatement(sql);
ps.setString(1, "张三");  //为第一个问号赋值  
ps.setInt(2, 2);    //为第二个问号赋值
ps.setString(3, "北京");    //为第三个问号赋值
ps.executeUpdate();
conn.close();

2、预编译的好处

2.1、预编译能避免SQL注入

预编译功能可以避免SQL注入,因为SQL已经编译完成,其结构已经固定,用户的输入只能当做参数传入进去,不能再破坏SQL的结果,无法造成曲解SQL原本意思的破坏。

2.2、预编译能提高SQL执行效率

预编译功能除了避免SQL注入,还能提高SQL执行效率。当客户发送一条SQL语句给服务器后,服务器首先需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句。其中校验语法,和编译所花的时间可能比执行SQL语句花的时间还要多。

如果我们需要执行多次insert语句,但只是每次插入的值不同,MySQL服务器也是需要每次都去校验SQL语句的语法格式以及编译,这就浪费了太多的时间。如果使用预编译功能,那么只对SQL语句进行一次语法校验和编译,所以效率要高。

3、预编译的实现过程

预编译功能如此重要,那么数据库是如何实现预编译的呢?这个问题其实可以当做一个面试题,能很好的考察面试者对预编译的理解。下面以MySQL为例说明一下预编译的过程:

MySQL执行预编译分为如三步:

第一步:执行预编译语句,例如:prepare myperson from 'select * from t_person where name=?'
第二步:设置变量,例如:set @name='Jim'
第三步:执行语句,例如:execute myperson using @name

如果需要再次执行myperson,那么就不再需要第一步,即不需要再编译语句了:

设置变量,例如:set @name='Tom'
执行语句,例如:execute myperson using @name

标签: none

已有 2 条评论

  1. 东方旭日 东方旭日

    nice

  2. Bob Bob

    学习了

添加新评论