PreparedStatement用法詳解

詳解一：
/**
     * PrepareStatement 測試插入數據庫
     */
    /**
     * 如果使用Statement，那么就必須在SQL語句中，實際地去嵌入值，比如之前的insert語句
     *
     * 但是這種方式有一個弊端，第一，是容易發生SQL注入，SQL注入，簡單來說，就是，你的網頁的用戶
     * 在使用，比如論壇的留言板，電商網站的評論頁面，提交內容的時候，可以使用'1 or 1'，諸如此類的
     * 非法的字符，然后你的后台，如果在插入評論數據到表中的時候，如果使用Statement，就會原封不動的
     * 將用戶填寫的內容拼接在SQL中，此時可能會發生對數據庫的意外的損壞，甚至數據泄露，這種情況就叫做
     * SQL注入
     *
     * 第二種弊端，就是性能的低下，比如insert into test_user(name,age) values('張三',25)
     * insert into test_user(name,age) values('李四',26)
     * 其實兩條SQL語句的結構大同小異，但是如果使用這種方式，在MySQL中執行SQL語句的時候，卻需要對
     * 每一條SQL語句都實現編譯，編譯的耗時在整個SQL語句的執行耗時中占據了大部分的比例
     * 所以，Statement會導致執行大量類似SQL語句的時候的，性能低下
     *
     * 如果使用PreparedStatement，那么就可以解決上述的兩個問題
     * 1、SQL注入，使用PreparedStatement時，是可以在SQL語句中，對值所在的位置使用?這種占位符的
     * 使用占位符之后，實際的值，可以通過另外一份放在數組中的參數來代表。此時PreparedStatement會對
     * 值做特殊的處理，往往特殊處理后，就會導致不法分子的惡意注入的SQL代碼失效
     * 2、提升性能，使用PreparedStatement之后，其實結構類似的SQL語句，都變成一樣的了，因為值的地方
     * 都會變成?，那么一條SQL語句，在MySQL中只會編譯一次，后面的SQL語句過來，就直接拿編譯后的執行計划
     * 加上不同的參數直接執行，可以大大提升性能
     */
    private static void preparedStatement() {
        // 總結一下JDBC的最基本的使用過程
        // 1、加載驅動類：Class.forName()
        // 2、獲取數據庫連接：DriverManager.getConnection()
        // 3、創建SQL語句執行句柄：Connection.createStatement()
        // 4、執行SQL語句：Statement.executeUpdate()
        // 5、釋放數據庫連接資源：finally，Connection.close()

        // 定義數據庫連接對象
        // 引用JDBC相關的所有接口或者是抽象類的時候，必須是引用java.sql包下的
        // java.sql包下的，才代表了java提供的JDBC接口，只是一套規范
        // 至於具體的實現，則由數據庫驅動來提供，切記不要引用諸如com.mysql.jdbc包的類
        Connection conn=null;
        //定義SQL語句執行句柄:PrepareStatement對象
        //PreparedStatement對象,其實就是底層會基於Connection數據庫連接
        //可以讓我們方便的針對數據庫中的表,執行增刪改查的SQL語句
        //比如和insert update delete和select語句
        PreparedStatement ps=null;
        try {
            // 第一步，加載數據庫的驅動，我們都是面向java.sql包下的接口在編程，所以
            // 要想讓JDBC代碼能夠真正操作數據庫，那么就必須第一步先加載進來你要操作的數據庫的驅動類
            // 使用Class.forName()方式來加載數據庫的驅動類
            // Class.forName()是Java提供的一種基於反射的方式，直接根據類的全限定名（包+類）
            // 從類所在的磁盤文件（.class文件）中加載類對應的內容，並創建對應的Class對象
            Class.forName("com.mysql.jdbc.Driver");
            // 獲取數據庫的連接
            // 使用DriverManager.getConnection()方法獲取針對數據庫的連接
            // 需要給方法傳入三個參數，包括url、user、password
            // 其中url就是有特定格式的數據庫連接串，包括“主協議:子協議://主機名:端口號//數據庫”
            conn = DriverManager.getConnection(
                    "jdbc:mysql://localhost:3306/spark_project?characterEncoding=utf8",
                    "root",
                    "root"
            );
            // 基於數據庫連接Connection對象，創建SQL語句執行句柄，Statement對象
            // prepareStatement對象，就是用來基於底層的Connection代表的數據庫連接
            // 允許我們通過java程序，通過prepareStatement對象，向MySQL數據庫發送SQL語句
            // 從而實現通過發送的SQL語句來執行增刪改查等邏輯
            // 第一個，SQL語句中，值所在的地方，都用問好代表
            String sql = "insert into user(name,age) values(?,?)";
            ps = conn.prepareStatement(sql);
            // 第二個，必須調用PreparedStatement的setX()系列方法，對指定的占位符設置實際的值
            ps.setString(1,"李四");
            ps.setInt(2,26);
            // Statement.executeUpdate()方法，就可以用來執行insert、update、delete語句
            // 返回類型是個int值，也就是SQL語句影響的行數
            // 第三個，執行SQL語句時，直接使用executeUpdate()即可，不用傳入任何參數
            int rtn = ps.executeUpdate();

            System.out.println("SQL語句影響了【" + rtn + "】行。");
        }catch (Exception e){
            e.printStackTrace();
        }finally {
            try {
                // 最后一定要記得在finally代碼塊中，盡快在執行完SQL語句之后，就釋放數據庫連接
                if (ps != null){
                    ps.close();
                }
                if (conn !=null){
                    conn.close();
                }
            }catch (Exception e){
                e.printStackTrace();
            }
        }
    }
詳解二：
jdbc(java database connectivity，java數據庫連接)的api中的主要的四個類之一的java.sql.statement要求開發者付出大量的時間和精力。在使用statement獲取jdbc訪問時所具有的一個共通的問題是輸入適當格式的日期和時間戳：2002-02-05 20:56 或者 02/05/02 8:56 pm。
通過使用java.sql.preparedstatement，這個問題可以自動解決。一個preparedstatement是從java.sql.connection對象和所提供的sql字符串得到的，sql字符串中包含問號（?），這些問號標明變量的位置，然后提供變量的值，最后執行語句，例如：
stringsql = "select * from people p where p.id = ? and p.name = ?";
preparedstatement ps = connection.preparestatement(sql);
ps.setint(1,id);
ps.setstring(2,name);
resultset rs = ps.executequery();
使用preparedstatement的另一個優點是字符串不是動態創建的。下面是一個動態創建字符串的例子：
stringsql = "select * from people p where p.i = "+id;

這允許jvm（javavirtual machine，java虛擬機）和驅動/數據庫緩存語句和字符串並提高性能。
preparedstatement也提供數據庫無關性。當顯示聲明的sql越少，那么潛在的sql語句的數據庫依賴性就越小。
由於preparedstatement具備很多優點，開發者可能通常都使用它，只有在完全是因為性能原因或者是在一行sql語句中沒有變量的時候才使用通常的statement。
一個完整的preparedstatement的例子：
package jstarproject;
import java.sql.*;
public class mypreparedstatement {
private final string db_driver="com.microsoft.jdbc.sqlserver.sqlserverdriver";
private final string url = "jdbc:microsoft:sqlserver://127.0.0.1:1433;databasename=pubs";
public mypreparedstatement()
{
}
public void query() throws sqlexception{
connection conn = this.getconnection();
string strsql = "select emp_id from employee where emp_id = ?";
preparedstatement pstmt = conn.preparestatement(strsql);
pstmt.setstring(1,"pma42628m");
resultset rs = pstmt.executequery();

while(rs.next()){
string fname = rs.getstring("emp_id");
system.out.println("the fname is " + fname);
}
rs.close();
pstmt.close();
conn.close();
}
private connection getconnection() throws sqlexception{
// class.
connection conn = null;
try {
class.forname(db_driver);
conn = drivermanager.getconnection(url,"sa","sa");
}
catch (classnotfoundexception ex) {}
return conn;
}
//main
public static void main(string[] args) throws sqlexception {
mypreparedstatement jdbctest1 = new mypreparedstatement();
jdbctest1.query();
}
}


為什么要始終使用PreparedStatement代替Statement?為什么要始終使用PreparedStatement代替Statement?


在JDBC應用中,如果你已經是稍有水平開發者,你就應該始終以PreparedStatement代替Statement.也就是說,在任何時候都不要使用Statement.
基於以下的原因:
一.代碼的可讀性和可維護性.
雖然用PreparedStatement來代替Statement會使代碼多出幾行,但這樣的代碼無論從可讀性還是可維護性上來說.都比直接用Statement的代碼高很多檔次:

stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate();

不用我多說,對於第一種方法.別說其他人去讀你的代碼,就是你自己過一段時間再去讀,都會覺得傷心.

二.PreparedStatement盡最大可能提高性能.
每一種數據庫都會盡最大努力對預編譯語句提供最大的性能優化.因為預編譯語句有可能被重復調用.所以語句在被DB的編譯器編譯后的執行代碼被緩存下來,那么下次調用時只要是相同的預編譯語句就不需要編譯,只要將參數直接傳入編譯過的語句執行代碼中(相當於一個涵數)就會得到執行.這並不是說只有一個Connection中多次執行的預編譯語句被緩存,而是對於整個DB中,只要預編譯的語句語法和緩存中匹配.那么在任何時候就可以不需要再次編譯而可以直接執行.而statement的語句中,即使是相同一操作,而由於每次操作的數據不同所以使整個語句相匹配的機會極小,幾乎不太可能匹配.比如:
insert into tb_name (col1,col2) values ('11','22');
insert into tb_name (col1,col2) values ('11','23');
即使是相同操作但因為數據內容不一樣,所以整個個語句本身不能匹配,沒有緩存語句的意義.事實是沒有數據庫會對普通語句編譯后的執行代碼緩存.

當然並不是所以預編譯語句都一定會被緩存,數據庫本身會用一種策略,比如使用頻度等因素來決定什么時候不再緩存已有的預編譯結果.以保存有更多的空間存儲新的預編譯語句.

三.最重要的一點是極大地提高了安全性.

即使到目前為止,仍有一些人連基本的惡義SQL語法都不知道.
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我們把[' or '1' = '1]作為varpasswd傳入進來.用戶名隨意,看看會成為什么?

select * from tb_name = '隨意' and passwd = '' or '1' = '1';
因為'1'='1'肯定成立,所以可以任何通過驗證.更有甚者:
把[';drop table tb_name;]作為varpasswd傳入進來,則:
select * from tb_name = '隨意' and passwd = '';drop table tb_name;有些數據庫是不會讓你成功的,但也有很多數據庫就可以使這些語句得到執行.

而如果你使用預編譯語句.你傳入的任何內容就不會和原來的語句發生任何匹配的關系.只要全使用預編譯語句,你就用不着對傳入的數據做任何過慮.而如果使用普通的statement,有可能要對drop,;等做費盡心機的判斷和過慮.

參考博客：https://www.cnblogs.com/raymond19840709/archive/2008/05/12/1192948.html和https://www.cnblogs.com/gentle-awen/p/10159300.html