PreparedStatement和Statement區別詳解

技術原理

該 PreparedStatement接口繼承 Statement,並與之在兩方面有所不一樣:
PreparedStatement 實例包含已編譯的 SQL 語句。這就是使語句「準備好」。包含於 PreparedStatement 對象中的 SQL 語句可具備一個或多個 IN 參數。IN參數的值在 SQL 語句建立時未被指定。相反的,該語句爲每一個 IN 參數保留一個問號(「?」)做爲 佔位符。每一個問號的值必須在該語句執行以前,經過適當的setXXX 方法來提供。
因爲 PreparedStatement 對象已 預編譯過,因此其執行速度要快於 Statement 對象。所以,屢次執行的 SQL 語句常常建立爲 PreparedStatement 對象,以提升效率。
做爲 Statement 的子類,PreparedStatement 繼承了 Statement 的全部功能。另外它還添加了一整套方法,用於設置發送給數據庫以取代 IN 參數 佔位符的值。同時,三種方法 execute、 executeQuery 和 executeUpdate 已被更改以使之再也不須要參數。這些方法的 Statement 形式(接受 SQL 語句參數的形式)不該該用於 PreparedStatement 對象。

建立對象

如下的 代碼段(其中 con 是 Connection 對象)建立包含帶兩個 IN 參數佔位符的 SQL 語句的 PreparedStatement 對象:
PreparedStatement pstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?");
pstmt 對象包含語句 "UPDATE table4 SET m = ? WHERE x = ?",它已發送給DBMS,併爲執行做好了準備。

傳遞參數

在執行 PreparedStatement 對象以前,必須設置每一個 ? 參數的值。這可經過調用 setXXX 方法來完成,其中 XXX 是與該參數相應的類型。例如,若是參數具備Java 類型 long,則使用的方法就是 setLong。setXXX 方法的第一個參數是要設置的參數的序數位置,第二個參數是設置給該參數的值。例如,如下代碼將第一個參數設爲 123456789,第二個參數設爲 100000000:
pstmt.setLong(1, 123456789);
pstmt.setLong(2, 100000000);
一旦設置了給定語句的參數值,就可用它屢次執行該語句,直到調用clearParameters 方法清除它爲止。在鏈接的缺省模式下(啓用自動提交),當語句完成時將自動提交或還原該語句。
若是基本數據庫和 驅動程序在語句提交以後仍保持這些語句的打開狀態,則同一個 PreparedStatement 可執行屢次。若是這一點不成立,那麼試圖經過使用PreparedStatement 對象代替 Statement 對象來提升性能是沒有意義的。
利用 pstmt(前面建立的 PreparedStatement 對象),如下代碼例示瞭如何設置兩個參數 佔位符的值並執行 pstmt 10 次。如上所述,爲作到這一點,數據庫不能關閉 pstmt。在該示例中,第一個參數被設置爲 "Hi"並保持爲常數。在 for 循環中,每次都將第二個參數設置爲不一樣的值:從 0 開始,到 9 結束。
pstmt.setString(1, "Hi");
for (int i = 0; i < 10; i++) {
pstmt.setInt(2, i);
int rowCount = pstmt.executeUpdate();
}

參數的類型

setXXX 方法中的 XXX 是 Java 類型。它是一種隱含的 JDBC 類型(通常 SQL 類型),由於驅動程序將把 Java 類型映射爲相應的 JDBC 類型(遵循該 JDBCGuide中§8.6.2 「映射 Java 和 JDBC 類型」表中所指定的映射),並將該 JDBC 類型發送給數據庫。例如,如下 代碼段將 PreparedStatement 對象 pstmt 的第二個參數設置爲 44,Java 類型爲 short:
pstmt.setShort(2, 44);
驅動程序將 44 做爲 JDBC SMALLINT 發送給數據庫,它是 Java short 類型的標準映射。
程序員的責任是確保將每一個 IN 參數的 Java 類型映射爲與數據庫所需的 JDBC 數據類型兼容的 JDBC 類型。不妨考慮數據庫須要 JDBC SMALLINT 的狀況。若是使用方法 setByte ,則 驅動程序將 JDBC TINYINT 發送給數據庫。這是可行的,由於許多數據庫可從一種相關的類型轉換爲另外一種類型,而且一般 TINYINT 可用於SMALLINT 適用的任何地方。

應用示例

編輯
jdbc(java database connectivity,java數據庫鏈接)的api中的主要的四個類之一的java.sql. statement要求開發者付出大量的時間和精力。在使用statement獲取jdbc訪問時所具備的一個共通的問題是輸入適當格式的日期和 時間戳:2002-02-05 20:56 或者 02/05/02 8:56 pm。
經過使用java.sql.preparedstatement,這個問題能夠自動解決。一個preparedstatement是從java.sql.connection對象和所提供的sql 字符串獲得的,sql字符串中包含問號(?),這些問號標明變量的位置,而後提供變量的值,最後執行語句,例如:
stringsql = "select * from people where id = ? and name = ?";
preparedstatement ps = connection.preparestatement(sql);
ps.setint(1,id);
ps.setstring(2,name);
resultset rs = ps.executequery();
使用preparedstatement的另外一個優勢是 字符串不是動態建立的。下面是一個動態建立字符串的例子:
stringsql = "select * from people where p.i = "+id;
這容許jvm(javavirtual machine, java虛擬機)和驅動/數據庫緩存語句和字符串並提升性能。preparedstatement也提供數據庫無關性。當顯示聲明的sql越少,那麼潛在的sql語句的數據庫依賴性就越小。因爲preparedstatement具有不少優勢,開發者可能一般都使用它,只有在徹底是由於性能緣由或者是在一行sql語句中沒有變量的時候才使用一般的statement。一個完整的preparedstatement的例子:
package jstarproject;
import java.sql.*;
public class mypreparedstatement {
private final string db_driver="com.microsoft.jdbc.sqlserver.sqlserverdriver";
private final string url = "jdbc:microsoft:sqlserver:// 127.0.0.1:1433;databasename=pubs";
public mypreparedstatement()
{
}
public void query() throws sqlexception{
connection conn = this.getconnection();
string strsql = "select emp_id from employee where emp_id = ?";
preparedstatement pstmt = conn.preparestatement(strsql);
pstmt.setstring(1,"pma42628m");
resultset rs = pstmt.executequery();
while(rs.next()){
string fname = rs.getstring("emp_id");
system.out.println("the fname is " + fname);
}
rs.close();
pstmt.close();
conn.close();
}
private connection getconnection() throws sqlexception{
// class.
connection conn = null;
try {
class.forname(db_driver);
conn = drivermanager.getconnection(url,"sa","sa");
}
catch (classnotfoundexception ex) {}
return conn;
}
//main
public static void main(string[] args) throws sqlexception {
mypreparedstatement jdbctest1 = new mypreparedstatement();
jdbctest1.query();
}
}
優勢
在JDBC應用中,若是你已是稍有水平開發者,你就應該始終以PreparedStatement代替Statement.也就是說,在任什麼時候候都不要使用Statement.
  基於如下的緣由:
   一.代碼的可讀性和可維護性.
  雖然用PreparedStatement來代替Statement會使代碼多出幾行,但這樣的代碼不管從可讀性仍是可維護性上來講.都比直接用Statement的代碼高不少檔次:
  stmt.executeUpdate("insertintotb_name(col1,col2,col2,col4)values('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");
  perstmt=con.prepareStatement("insertintotb_name(col1,col2,col2,col4)values(?,?,?,?)");
  perstmt.setString(1,var1);
  perstmt.setString(2,var2);
  perstmt.setString(3,var3);
  perstmt.setString(4,var4);
  perstmt.executeUpdate();
  不用我多說,對於第一種方法.別說其餘人去讀你的代碼,就是你本身過一段時間再去讀,都會以爲傷心.
二.PreparedStatement盡最大可能提升性能.
每一種數據庫都會盡最大努力對預編譯語句提供最大的性能優化.由於預編譯語句有可能被重複調用.因此語句在被DB的編譯器編譯後的執行代碼被緩存下來,那麼下次調用時只要是相同的預編譯語句就不須要編譯,只要將參數直接傳入編譯過的語句執行代碼中(至關於一個涵數)就會獲得執行.這並非說只有一個Connection中屢次執行的預編譯語句被緩存,而是對於整個DB中,只要預編譯的語句語法和緩存中匹配.那麼在任什麼時候候就能夠不須要再次編譯而能夠直接執行.而statement的語句中,即便是相同一操做,而因爲每次操做的數據不一樣因此使整個語句相匹配的機會極小,幾乎不太可能匹配.好比:
  insertintotb_name(col1,col2)values('11','22');
  insertintotb_name(col1,col2)values('11','23');
  即便是相同操做但由於數據內容不同,因此整個個語句自己不能匹配,沒有緩存語句的意義.事實是沒有數據庫會對普通語句編譯後的執行代碼緩存.
  固然並非全部預編譯語句都必定會被緩存,數據庫自己會用一種策略,好比使用頻度等因素來決定何時再也不緩存已有的預編譯結果.以保存有更多的空間存儲新的預編譯語句.
   三.最重要的一點是極大地提升了安全性.   即便到目前爲止,仍有一些人連基本的惡義SQL語法都不知道.   Stringsql="select*fromtb_namewherename='"+varname+"'andpasswd='"+varpasswd+"'";   若是咱們把['or'1'='1]做爲varpasswd傳入進來.用戶名隨意,看看會成爲何?   select*fromtb_name='隨意'andpasswd=''or'1'='1';   由於'1'='1'確定成立,因此能夠任何經過驗證.更有甚者:   把[';droptabletb_name;]做爲varpasswd傳入進來,則:   select*fromtb_name='隨意'andpasswd='';droptabletb_name;有些數據庫是不會讓你成功的,但也有不少數據庫就可使這些語句獲得執行.   而若是你使用預編譯語句.你傳入的任何內容就不會和原來的語句發生任何匹配的關係.只要全使用預編譯語句,你就用不着對傳入的數據作任何過慮.而若是使用普通的statement,有可能要對drop,;等作費盡心機的判斷和過慮.
相關文章
相關標籤/搜索