安科网

PreparedStatement与Statement的区别

landdin0

landdin0

2009-03-29

关注 关注

PreparedStatement jdk的解释是

An object that represents a precompiled SQL statement. 
A SQL statement is precompiled and stored in a PreparedStatement object.

主要特点是:

1、提高了安全性,可以防止SQL注入;

2、调试不方便,看不到sql语句,需要额外使用p6spy等辅助包;

2、预编译语句。

并不是说PreparedStatement在所有的DB上都不会提高效率,PreparedStatement需要服务器端的支持,比如在Oracle上就会有显著效果。而MySQL比较明确地说明了不支持PreparedStatement。至于为什么预编译就会提高效率呢?因为oracle中会将所有的sql语句先编译,叫做“执行计划”,放在oracle内部的一个特定的缓存中,每次遇到相同的sql,就会预先调用缓存中,如果不预编译,每次都用statement,那么每次都要编译,在缓冲中会有很多重复的“执行计划”,影响数据库的效能。

还有一点就是在使用setObject()的时候,记得一定要使用带targetSqlType参数的方法,来提高效率。

以下是mysql驱动包中有关setObject()的源代码
public void setObject(int parameterIndex, Object parameterObj,
			int targetSqlType, int scale) throws SQLException {
		if (parameterObj == null) {
			setNull(parameterIndex, java.sql.Types.OTHER);
		} else {
			try {
				switch (targetSqlType) {
				case Types.BOOLEAN:
					if (parameterObj instanceof Boolean) {
						setBoolean(parameterIndex, ((Boolean) parameterObj)
								.booleanValue());

						break;
					} else if (parameterObj instanceof String) {
						setBoolean(parameterIndex, "true"
								.equalsIgnoreCase((String) parameterObj)
								|| !"0".equalsIgnoreCase((String) parameterObj));

						break;
					} else if (parameterObj instanceof Number) {
						int intValue = ((Number) parameterObj).intValue();

						setBoolean(parameterIndex, intValue != 0);

						break;
					} else {
						throw new SQLException("No conversion from "
								+ parameterObj.getClass().getName()
								+ " to Types.BOOLEAN possible.",
								SQLError.SQL_STATE_ILLEGAL_ARGUMENT);
					}

				case Types.BIT:
				case Types.TINYINT:
				case Types.SMALLINT:
				case Types.INTEGER:
				case Types.BIGINT:
				case Types.REAL:
				case Types.FLOAT:
				case Types.DOUBLE:
				case Types.DECIMAL:
				case Types.NUMERIC:

					setNumericObject(parameterIndex, parameterObj,
							targetSqlType, scale);

					break;

				case Types.CHAR:
				case Types.VARCHAR:
				case Types.LONGVARCHAR:
					if (parameterObj instanceof BigDecimal) {
						setString(
								parameterIndex,
								(StringUtils
										.fixDecimalExponent(StringUtils
												.consistentToString((BigDecimal) parameterObj))));
					} else {
						setString(parameterIndex, parameterObj.toString());
					}

					break;

				case Types.CLOB:

					if (parameterObj instanceof java.sql.Clob) {
						setClob(parameterIndex, (java.sql.Clob) parameterObj);
					} else {
						setString(parameterIndex, parameterObj.toString());
					}

					break;

				case Types.BINARY:
				case Types.VARBINARY:
				case Types.LONGVARBINARY:
				case Types.BLOB:

					if (parameterObj instanceof byte[]) {
						setBytes(parameterIndex, (byte[]) parameterObj);
					} else if (parameterObj instanceof java.sql.Blob) {
						setBlob(parameterIndex, (java.sql.Blob) parameterObj);
					} else {
						setBytes(parameterIndex, StringUtils.getBytes(
								parameterObj.toString(), this.charConverter,
								this.charEncoding, this.connection
										.getServerCharacterEncoding(),
								this.connection.parserKnowsUnicode()));
					}

					break;

				case Types.DATE:
				case Types.TIMESTAMP:

					java.util.Date parameterAsDate;

					if (parameterObj instanceof String) {
						ParsePosition pp = new ParsePosition(0);
						java.text.DateFormat sdf = new java.text.SimpleDateFormat(
								getDateTimePattern((String) parameterObj, false),
								Locale.US);
						parameterAsDate = sdf.parse((String) parameterObj, pp);
					} else {
						parameterAsDate = (java.util.Date) parameterObj;
					}

					switch (targetSqlType) {
					case Types.DATE:

						if (parameterAsDate instanceof java.sql.Date) {
							setDate(parameterIndex,
									(java.sql.Date) parameterAsDate);
						} else {
							setDate(parameterIndex, new java.sql.Date(
									parameterAsDate.getTime()));
						}

						break;

					case Types.TIMESTAMP:

						if (parameterAsDate instanceof java.sql.Timestamp) {
							setTimestamp(parameterIndex,
									(java.sql.Timestamp) parameterAsDate);
						} else {
							setTimestamp(parameterIndex,
									new java.sql.Timestamp(parameterAsDate
											.getTime()));
						}

						break;
					}

					break;

				case Types.TIME:

					if (parameterObj instanceof String) {
						java.text.DateFormat sdf = new java.text.SimpleDateFormat(
								getDateTimePattern((String) parameterObj, true),
								Locale.US);
						setTime(parameterIndex, new java.sql.Time(sdf.parse(
								(String) parameterObj).getTime()));
					} else if (parameterObj instanceof Timestamp) {
						Timestamp xT = (Timestamp) parameterObj;
						setTime(parameterIndex, new java.sql.Time(xT.getTime()));
					} else {
						setTime(parameterIndex, (java.sql.Time) parameterObj);
					}

					break;

				case Types.OTHER:
					setSerializableObject(parameterIndex, parameterObj);

					break;

				default:
					throw new SQLException(Messages
							.getString("PreparedStatement.16"), //$NON-NLS-1$
							SQLError.SQL_STATE_GENERAL_ERROR);
				}
			} catch (Exception ex) {
				if (ex instanceof SQLException) {
					throw (SQLException) ex;
				}

				throw new SQLException(
						Messages.getString("PreparedStatement.17") //$NON-NLS-1$
								+ parameterObj.getClass().toString()
								+ Messages.getString("PreparedStatement.18") //$NON-NLS-1$
								+ ex.getClass().getName()
								+ Messages.getString("PreparedStatement.19") + ex.getMessage(), //$NON-NLS-1$
						SQLError.SQL_STATE_GENERAL_ERROR);
			}
		}
	}

不带targetSqlType参数的setObject()方法

public void setObject(int parameterIndex, Object parameterObj)
			throws SQLException {
		if (parameterObj == null) {
			setNull(parameterIndex, java.sql.Types.OTHER);
		} else {
			if (parameterObj instanceof Byte) {
				setInt(parameterIndex, ((Byte) parameterObj).intValue());
			} else if (parameterObj instanceof String) {
				setString(parameterIndex, (String) parameterObj);
			} else if (parameterObj instanceof BigDecimal) {
				setBigDecimal(parameterIndex, (BigDecimal) parameterObj);
			} else if (parameterObj instanceof Short) {
				setShort(parameterIndex, ((Short) parameterObj).shortValue());
			} else if (parameterObj instanceof Integer) {
				setInt(parameterIndex, ((Integer) parameterObj).intValue());
			} else if (parameterObj instanceof Long) {
				setLong(parameterIndex, ((Long) parameterObj).longValue());
			} else if (parameterObj instanceof Float) {
				setFloat(parameterIndex, ((Float) parameterObj).floatValue());
			} else if (parameterObj instanceof Double) {
				setDouble(parameterIndex, ((Double) parameterObj).doubleValue());
			} else if (parameterObj instanceof byte[]) {
				setBytes(parameterIndex, (byte[]) parameterObj);
			} else if (parameterObj instanceof java.sql.Date) {
				setDate(parameterIndex, (java.sql.Date) parameterObj);
			} else if (parameterObj instanceof Time) {
				setTime(parameterIndex, (Time) parameterObj);
			} else if (parameterObj instanceof Timestamp) {
				setTimestamp(parameterIndex, (Timestamp) parameterObj);
			} else if (parameterObj instanceof Boolean) {
				setBoolean(parameterIndex, ((Boolean) parameterObj)
						.booleanValue());
			} else if (parameterObj instanceof InputStream) {
				setBinaryStream(parameterIndex, (InputStream) parameterObj, -1);
			} else if (parameterObj instanceof java.sql.Blob) {
				setBlob(parameterIndex, (java.sql.Blob) parameterObj);
			} else if (parameterObj instanceof java.sql.Clob) {
				setClob(parameterIndex, (java.sql.Clob) parameterObj);
			} else if (parameterObj instanceof java.util.Date) {
				setTimestamp(parameterIndex, new Timestamp(
						((java.util.Date) parameterObj).getTime()));
			} else if (parameterObj instanceof BigInteger) {
				setString(parameterIndex, parameterObj.toString());
			} else {
				setSerializableObject(parameterIndex, parameterObj);
			}
		}
	}

所以大家不要为了省事,而使用不带targetSqlType参数的setObject()方法。

Statement是PreparedStatement的父接口,

主要特点是:

1、易于调试;

2、不进行预编译操作,减少了进行预编译的开销。单次运行PreparedStatement要比Statement要慢一些

这里有个对比:http://www.onjava.com/lpt/a/1480

 

Table 19-3: OCI driver timings (in milliseconds)

Inserts

Statement

PreparedStatement

1

10

113

1,000

2,804

1,412

The important thing to notice about the graph is that it's not until about 65 inserts that the PreparedStatement object outperforms the Statement object. 65 inserts

综上:

Statement和PreparedStatement,都有其优缺点,但总体而言,强烈建议使用Statement的同学改为使用PreparedStatement,如果希望调试方便,再加个p6spy等包做辅助,看到的sql语句效果更好。毕竟许多应用中,都要考安全性、大用户量时候的性能问题。像hibernate、toplink这种jpa在使用jdbc的时候,如果数据库端支持,都很统一的使用了PreparedStatement。

如:oracle.toplink.essentials.internal.databaseaccess.DatabasePlatform类。

顺便再讲一下,程序员写出来的sql语句是最值得去关注的,一条效率差的sql语句,足以毁掉整个应用。

预编译 sql注入 oracle执行计划 sql数据库 oracle数据库 oracle

landdin0

landdin0

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

mybatis输出预编译的sql替换为可直接执行的sql

sqlTextField = new JTextArea("输入待处理的SQL,比如:insert into test (id,name,age) values (?int index = split[i].lastIndexOf(‘(‘);sp

技术驱动人生 2020-04-24

dart2native,Dart程序可以预编译为本地可执行代码

Google 在 Dart 语言 2.6 版本中带来了一个 dart2native 编译功能,这是其现有编译器的扩展,能够将 Dart 程序编译为包含预编译的机器码的自包含可执行文件。这一功能能够使开发人员使用 Dart 在 macOS、Windows 或

mryangjx 2019-11-11

软件开发——编译&链接

对于平常的应用程序开发,我们很少需要关注编译和链接过程。我们平常Xcode开发就是集成的的开发环境,这样的IDE一般都将编译和链接的过程一步完成,通常将这种编译和链接合并在一起的过程称为构建,即使使用命令行来编译一个源代码文件,简单的一句gcc hello

zmjzhangmj 2019-09-17

vue-cli3使用 DllPlugin 实现预编译提升构建速度

对于用的比较少的库,可以去掉,用到的地方,参考源码自己写。library: "[name]_[hash]" // vendor.dll.js中暴露出的全局变量名。以上已经完成预编译并载入;但是一定不要忘记webpack构建时告诉webp

我是一棵树 2019-04-24

CSS预编译是什么?

学习一样东西的第一步就是首先知道它是什么。CSS预编译工具有人开发了一些扩展CSS功能的写法,比如less,sass,其目的是让css能支持一些编程语言才有的功能,比如:表达式,函数,变量,循环,判断.有这些功能就能方便重复定义,写css时省事.举以下例子

LadyZhong 2019-07-01

大话css预编译处理(三):基础语法篇

值得庆幸的是,这三款CSS预处理器语言的语法和CSS语法都差不多。这样Sass代码转换成CSS代码变得更容易。默认Sass使用.scss扩展名。

沉着前进 2019-06-30

大话css预编译处理(二)安装使用篇

不懂Ruby,照样可以正常使用Sass。只是必须先安装Ruby,然后再安装Sass。如果你使用的是微软的Windows系统,那么安装就有些许的麻烦。不过也不用过于担心,按照下面的步骤就能帮你快速的安装好。到RubyInstaller官网上下载Ruby安装文

晶莹的代码 2019-06-30

大话css预编译处理(一)通读介绍篇

CSS 预编译处理,从字面上理解,就是预先编译处理CSS。它扩展了 CSS 语言,增加了变量、Mixin、函数等编程的特性,使 CSS 更易维护和扩展。CSS预编译的工作原理是提供便捷的语法和特性供开发者编写源代码,随后经过专门的编译工具将源码转化为CSS

dangzhangjing 2019-06-30

JavaScript的预编译过程分析

预编译简单理解就是在内存中开辟一些空间,存放一些变量与函数 。

何双江yarshray 2019-06-29

Mybatis使用总结

</select>注意:默认的编译方式改了,并且参数接受使用${XXX}方式。-- 大数据类型处理 -->. </if>插入和更新时:使用上述配置<typeHandlers>处理。但是这样不安全,存在潜在的注入攻击

Stephenmu 2012-05-24

vue-cli配置预编译

公司的平台功能越堆越多,打包也越来越费劲,一次十几分钟,运维很不爽,so捣鼓了一下预编译,试了一下大概缩短了七八分钟,目前感觉还行,现在把它记下来,给需要的童鞋当做参考,也给自己记录一下。library: '[name]_[hash:6]', // 当前D

helloxiaoliang 2019-06-27

css预编译--sass进阶篇

基础篇中主要介绍了一些sass的基本特性,进阶篇中,主要是写一些我们常用的sass控制命令,函数和规则。控制命令可能看过基础篇的朋友会发现在有些代码中出现@if @else @each等,熟悉JS条件语句和循环的朋友会比较了解这些控制命令的功能所在,这些控

gigipop 2019-06-27

css预编译--sass基础篇

sass起源和简介css 其实不是一门编程语言, css 全称 Cascading Style Sheets 是一种用来表现HTML或 XML等文件样式的计算机语言。我们用它来实现表现层和结构层的分离,也就是 HTML 和样式的分离。你可以用它为网页制定样

yaodilu 2019-06-27

CSS预编译语言Less的用法总结

扩展了css语言,增加了变量、继承、嵌套、运算、函数等特性,使css更易维护和扩展。Less既可以在浏览器端上运行,也可以在Node服务器端运行。与CSS能够很好地融合使用。-- 在引入less.js之前配置参数项 -->

impress 2019-06-27

JavaScript-预编译

这样能提高效率。作为浏览器脚本语言,JavaScript的主要用途是与用户互动,以及操作DOM。比如,假定JavaScript同时有两个线程,一个线程在某个DOM节点上添加内容,另一个线程删除了这个节点,这时浏览器应该以哪个线程为准?

MarkArch 2019-06-27

JDBC使用预编译SQL的好处

在学习数据库编程时,我们都知道在执行SQL命令时,有二种选择:可以使用PreparedStatement对象,也可以使用Statement对象。而熟悉JDBC编程的大侠们都会选择使用PreparedStatement对象,主要因为使用预编译对象Prepar

huangzhe0 2011-02-11

基于vue-cli搭建一个多页面应用(二)--postcss插件和css预编译配置

}PS:2017.07.30补充================= start ==================以上配置时postcss-loader的版本为1.3.3若postcss-loader的版本为2.0.0-2.0.2,以上配置会报错,201

陈浩 2019-06-21

查阅描述得比较好的文章:java中PreparedStatement和Statement区别(转)

数据库在执行sql语句的时候如果使用PreparedStatement语句会有一点优势:因为数据库会preparedStatement. 语句进行预编译,下次执行相同的sql语句时,数据库端不会再进行预编译了,而直接用数据库的缓冲区,提高数据访问的效率(但

步行者 2010-03-20

PHP ci db的绑定是伪绑定

伪的,最后在查询之前还是组合成了sql,失去了绑定,预编译的意义,关键是,输入字段是char,?格式化数组类型,失去了动态语言的魅力

廖金龙 2012-12-12

CMSPAD的数据库支持SQL预编译和批量执行特性了。

CMSPAD1.2版开始,系统在支持数据库集群和主从数据库基础上,开始支持SQL预编译和批量执行特性了,下面看看如何执行吧:。$stmt = $db->prepare('SELECT * FROM hello WHERE id = ?

especialjie 2008-04-25
landdin0

landdin0

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号