当前位置:极客笔记 > MySQL > MySQL 问答 > JDBC中的PreparedStatement是什么?

JDBC中的PreparedStatement是什么?

JDBC中的PreparedStatement是什么?

在Java中使用JDBC进行数据库操作时,PreparedStatement是常用的一种执行SQL语句的方式。PreparedStatement实例可以表示一个预编译的SQL语句,其中占位符可以通过方法参数进行实际值的替换。这样做不仅可以提高性能,而且可以防止SQL注入攻击。在本文中,我们将介绍PreparedStatement的详细用法和使用注意事项。

阅读更多:MySQL 教程

PreparedStatement的用法

在使用PreparedStatement之前,我们需要先创建一个Connection实例,这通常需要连接到一个具体的数据库。假设我们已经创建了一个名为conn的Connection实例,则可以通过以下方式创建一个PreparedStatement实例:

PreparedStatement ps = conn.prepareStatement(sql);

在这里,sql是一个包含占位符的SQL语句,例如:

INSERT INTO t_user(name, age, gender) VALUES (?, ?, ?)

在这个例子中,我们使用了三个问号作为占位符,用于表示name、age和gender字段的值。接下来,我们可以使用PreparedStatement实例的setXXX()方法为占位符设置实际值。例如,为了设置name字段的值为”张三”,我们可以这样做:

ps.setString(1, "张三");

这里,1表示占位符的位置,即第一个问号;”张三”是实际的参数值,使用setString()方法赋值给占位符。同样的,我们可以使用其他setXXX()方法为其他占位符赋值。

在赋值完成之后,我们可以使用PreparedStatement实例的execute()方法或executeUpdate()方法执行SQL语句。如果是查询语句,可以使用executeQuery()方法并对结果集进行处理。例如,以下代码演示了如何将一条记录插入到数据库中:

PreparedStatement ps = conn.prepareStatement(
    "INSERT INTO t_user(name, age, gender) VALUES (?, ?, ?)");
ps.setString(1, "张三");
ps.setInt(2, 20);
ps.setString(3, "男");
int affectedRows = ps.executeUpdate();
System.out.println("已插入 " + affectedRows + " 条记录");

在这个例子中,我们使用了PreparedStatement实例向表t_user插入了一条记录,并打印了受影响的行数。

PreparedStatement的优点

相比于使用Statement执行SQL语句,使用PreparedStatement有以下几个优点:

  1. 提高性能:PreparedStatement可以缓存预编译好的SQL语句,这样一来,如果多次执行相同的SQL语句(只是参数不同),就可以直接使用预编译的语句,避免了一些不必要的数据库操作,从而提高了性能。

  2. 防止SQL注入攻击:使用PreparedStatement可以避免SQL注入攻击,因为PreparedStatement会预编译SQL语句,将所有的参数都视为字符串,所以无论参数中是否包含单引号、双引号等特殊字符,都不会对SQL语句造成影响。

  3. 方便参数设置:PreparedStatement提供了setXXX()方法,可以很方便地设置参数的值,不需要手动拼接SQL语句,从而避免了一些错误。

PreparedStatement的使用注意事项

虽然PreparedStatement很方便易用,但是在使用时还是需要注意一些细节。

  1. 占位符的位置从1开始而不是0:在使用setXXX()方法设置参数值时要注意,占位符的位置是从1开始而不是0。例如,要设置第一个问号的值,应该使用setXXX(1, value)而不是setXXX(0, value)。

  2. 占位符的类型必须和参数类型匹配:在使用PreparedStatement时,我们需要根据实际情况选择合适的setXXX()方法。例如,如果要设置占位符的值为整数类型,就应该使用setInt()方法而不是setString()方法。否则可能会出现数据类型不匹配的错误。

  3. PreparedStatement可以使用批处理:PreparedStatement不仅可以执行单个SQL语句,还可以使用addBatch()方法将多个SQL语句加入批处理中,然后一起执行。这样可以提高执行效率,特别在需要执行大量相同的SQL语句时非常有用。

下面是一个使用PreparedStatement批处理插入记录的例子:

PreparedStatement ps = conn.prepareStatement(
    "INSERT INTO t_user(name, age, gender) VALUES (?, ?, ?)");
ps.setString(1, "张三");
ps.setInt(2, 20);
ps.setString(3, "男");
ps.addBatch();
ps.setString(1, "李四");
ps.setInt(2, 22);
ps.setString(3, "女");
ps.addBatch();
int[] affectedRows = ps.executeBatch();
System.out.println("已插入 " + affectedRows.length + " 条记录");

在这个例子中,我们使用了PreparedStatement实例向表t_user批量插入了两条记录,并打印了受影响的行数。

PreparedStatement的代码示例

下面是一个完整的使用PreparedStatement进行增删改查的代码示例:

import java.sql.Connection;
import java.sql.DriverManager;
import java.sql.PreparedStatement;
import java.sql.ResultSet;

public class TestPreparedStatement {
    public static void main(String[] args) throws Exception {
        Class.forName("com.mysql.cj.jdbc.Driver");
        Connection conn = DriverManager.getConnection(
            "jdbc:mysql://localhost:3306/mydb?useSSL=false&serverTimezone=UTC",
            "root", "123456");

        // 插入记录
        PreparedStatement ps = conn.prepareStatement(
            "INSERT INTO t_user(name, age, gender) VALUES (?, ?, ?)");
        ps.setString(1, "张三");
        ps.setInt(2, 20);
        ps.setString(3, "男");
        int affectedRows = ps.executeUpdate();
        System.out.println("已插入 " + affectedRows + " 条记录");

        // 修改记录
        ps = conn.prepareStatement("UPDATE t_user SET age = ? WHERE name = ?");
        ps.setInt(1, 25);
        ps.setString(2, "张三");
        affectedRows = ps.executeUpdate();
        System.out.println("已更新 " + affectedRows + " 条记录");

        // 查询记录
        ps = conn.prepareStatement("SELECT * FROM t_user WHERE age > ?");
        ps.setInt(1, 20);
        ResultSet rs = ps.executeQuery();
        while (rs.next()) {
            int id = rs.getInt("id");
            String name = rs.getString("name");
            int age = rs.getInt("age");
            String gender = rs.getString("gender");
            System.out.printf("id=%d, name=%s, age=%d, gender=%s\n", id, name, age, gender);
        }

        // 删除记录
        ps = conn.prepareStatement("DELETE FROM t_user WHERE name = ?");
        ps.setString(1, "张三");
        affectedRows = ps.executeUpdate();
        System.out.println("已删除 " + affectedRows + " 条记录");

        conn.close();
    }
}

上面的代码演示了如何使用PreparedStatement进行增删改查操作,并打印了结果。

结论

PreparedStatement是Java使用JDBC进行数据库操作时常用的一种执行SQL语句的方式。它使用占位符表示SQL语句中的参数,可以提高执行效率、防止SQL注入攻击、方便参数设置。在使用PreparedStatement时需要注意占位符的位置和类型,可以使用批处理提高效率。希望本文对读者有所帮助。

Camera课程

Camera API2 教程

API2 教程
Camera 性能教程

Perf 教程
Camera Native Framework 教程

Native FW 教程
Camera QCOM ISP 教程

ISP 教程
Camera QCOM Sensor 教程

Sensor 教程

Python教程

Python 教程

Python 教程
NumPy 教程

NumPy 教程
Django 教程

Django 教程

Java教程

Java 教程

Java 教程

Web教程

JavaScript 教程

JavaScript 教程
jQuery 教程

jQuery 教程
CSS 教程

CSS 教程
PHP 教程

PHP 教程
Laravel 教程

Laravel 教程
TypeScript 教程

TypeScript 教程
WordPress 教程

WordPress 教程

数据库教程

SQL 教程

SQL 教程
SQLite 教程

SQLite 教程
MySQL 教程

MySQL 教程
PL/SQL 教程

PL/SQL 教程
MongoDB 教程

MongoDB 教程

图形图像教程

OpenCV 教程

OpenCV 教程

办公软件教程

Excel 教程

Excel 教程

Linux教程

Linux命令全集

Linux命令全集
Linux内核API

Linux内核API
LVGL 教程

LVGL 教程

计算机教程

操作系统 教程

操作系统 教程
计算机网络 教程

计算机网络 教程
C语言 教程

C语言 教程
C++ 教程

C++ 教程
Swift 教程

Swift 教程

大数据教程

Hadoop 教程

Hadoop 教程
Spark 教程

Spark 教程
Scala 教程

Scala 教程

开发工具教程

Git 教程

Git 教程
Jenkins 教程

Jenkins 教程
ChatGPT 教程

ChatGPT 教程
IntelliJ 教程

IntelliJ 教程

MySQL 精选教程