极客笔记什么是JDBC中的Statement?
在Java编程中,我们经常需要通过代码与关系型数据库进行交互。为此,Java提供了JDBC(Java Database Connectivity)API,它是Java提供的与关系型数据库进行交互的标准API。在JDBC中,Statement是其中一个重要的概念。
阅读更多:MySQL 教程
Statement是什么?
Statement是JDBC API中的一个接口,它是用来执行SQL语句的。可以执行的SQL语句包括:增、删、改、查等操作,还可以执行存储过程、批量更新等操作。Statement是连接到关系型数据库后,进行数据库操作的主要工具。
Statement接口提供了三个主要的方法:
- executeQuery()方法:用于执行查询操作,返回一个ResultSet对象。
- executeUpdate()方法:用于执行增、删、改等操作,返回一个int类型的值,代表该操作所影响的行数。
- execute()方法:可以用于执行所有的SQL语句,具体的执行结果看具体的SQL语句。
以下是一个基本的JDBC查询示例,可以看到其中的Statement执行了查询操作:
import java.sql.*;
public class JDBCDemo {
public static void main(String[] args) {
try {
//加载驱动
Class.forName("com.mysql.jdbc.Driver");
//建立连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "password");
//创建Statement对象
Statement stmt = conn.createStatement();
//执行查询
ResultSet rs = stmt.executeQuery("select * from student");
//输出结果
while (rs.next()) {
System.out.println(rs.getString("name") + ":" + rs.getInt("age"));
}
//关闭连接
rs.close();
stmt.close();
conn.close();
} catch (ClassNotFoundException | SQLException e) {
e.printStackTrace();
}
}
}
PreparedStatement和CallableStatement
在JDBC中,除了Statement接口,还有PreparedStatement和CallableStatement两个接口,它们都继承自Statement接口。
PreparedStatement是Statement的子接口,通过使用prepareStatement()方法创建。预编译的SQL语句会在执行前被预处理(将?占位符替换为具体的实参),执行效率更高。常用于重复执行的SQL语句。
以下是一个使用PreparedStatement查询示例:
import java.sql.*;
public class JDBCDemo {
public static void main(String[] args) {
try {
//加载驱动
Class.forName("com.mysql.jdbc.Driver");
//建立连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "password");
//创建PreparedStatement对象
PreparedStatement pstmt = conn.prepareStatement("select * from student where name = ?");
//设置参数
pstmt.setString(1, "张三");
//执行查询
ResultSet rs = pstmt.executeQuery();
//输出结果
while (rs.next()) {
System.out.println(rs.getString("name") + ":" + rs.getInt("age"));
}
//关闭连接
rs.close();
pstmt.close();
conn.close();
} catch (ClassNotFoundException | SQLException e) {
e.printStackTrace();
}
}
}
CallableStatement也是Statement的子接口,主要用于调用存储过程。除了具有Statement的功能,还支持IN、OUT和INOUT参数。
Statement的缺点
虽然Statement非常方便,但它也有一些缺点。其中最明显的就是SQL注入攻击问题。当SQL语句中包含变量时,攻击者可以在变量中插入恶意代码,从而实现非法操作。例如:
String name = "\" or \"\"=\"";
String sql = "select * from student where name = \"" + name + "\"";
这段代码会将SQL语句变成“select * from student where name = “” or “”=””,这会使查询条件失效,导致查询结果为所有的记录。可以看到,这样的代码很容易受到注入攻击,比较危险。
为了解决这个问题,JDBC提供了一种更安全的方式来执行SQL语句,那就是使用PreparedStatement。PreparedStatement通过将变量作为参数传递给PreparedStatement对象,而不是通过字符串拼接的方式来创建SQL语句,可以避免SQL注入攻击。
另外,Statement还有一个缺点,就是它只能执行单一的SQL语句。如果我们需要执行多个SQL语句,比如批量插入、更新、删除等操作,就需要使用Statement的批处理功能。
Statement的批处理功能
Statement提供了批处理功能,可以用于执行多个SQL语句,提高执行效率。批处理分为两种:Statement批处理和PreparedStatement批处理。
Statement批处理
Statement批处理是通过批量执行SQL语句来提高执行效率的。我们只需要将多个SQL语句通过addBatch()方法添加到批处理中,然后通过executeBatch()方法一次性执行所有的语句,最后通过clearBatch()方法清空批处理。
以下是一个简单的批量插入示例:
import java.sql.*;
public class JDBCDemo {
public static void main(String[] args) {
try {
//加载驱动
Class.forName("com.mysql.jdbc.Driver");
//建立连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "password");
//创建Statement对象
Statement stmt = conn.createStatement();
//批量插入
stmt.addBatch("insert into student(name, age) values('张三', 20)");
stmt.addBatch("insert into student(name, age) values('李四', 22)");
stmt.addBatch("insert into student(name, age) values('王五', 25)");
//执行批处理
int[] result = stmt.executeBatch();
//输出执行结果
for (int i : result) {
System.out.println(i);
}
//清空批处理
stmt.clearBatch();
//关闭连接
stmt.close();
conn.close();
} catch (ClassNotFoundException | SQLException e) {
e.printStackTrace();
}
}
}
可以看到,批处理非常方便,并且执行效率比逐条执行SQL语句要高。
PreparedStatement批处理
PreparedStatement也支持批处理。使用PreparedStatement批处理时,我们需要在创建PreparedStatement对象时,指定批处理的数量。然后使用setXXX()方法为每个变量设置值,并将PreparedStatement对象添加到批处理中,最后通过executeBatch()方法一次性执行所有的语句,最后通过clearBatch()方法清空批处理。
以下是一个简单的PreparedStatement批处理示例:
import java.sql.*;
public class JDBCDemo {
public static void main(String[] args) {
try {
//加载驱动
Class.forName("com.mysql.jdbc.Driver");
//建立连接
Connection conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/test", "root", "password");
//创建PreparedStatement对象
PreparedStatement pstmt = conn.prepareStatement("insert into student(name, age) values(?, ?)");
//设置参数
pstmt.setString(1, "张三");
pstmt.setInt(2, 20);
//将PreparedStatement对象添加到批处理中
pstmt.addBatch();
//设置参数
pstmt.setString(1, "李四");
pstmt.setInt(2, 22);
//将PreparedStatement对象添加到批处理中
pstmt.addBatch();
//设置参数
pstmt.setString(1, "王五");
pstmt.setInt(2, 25);
//将PreparedStatement对象添加到批处理中
pstmt.addBatch();
//执行批处理
int[] result = pstmt.executeBatch();
//输出执行结果
for (int i : result) {
System.out.println(i);
}
//清空批处理
pstmt.clearBatch();
//关闭连接
pstmt.close();
conn.close();
} catch (ClassNotFoundException | SQLException e) {
e.printStackTrace();
}
}
}
可以看到,使用PreparedStatement批处理时,我们需要提前指定批处理的数量,并在执行过程中为每个变量设置值。与Statement批处理相比,PreparedStatement批处理更加灵活,可以根据实际情况指定不同的参数值。
总结
在JDBC中,Statement是用于执行SQL语句的重要接口。除了基本的executeQuery()、executeUpdate()、execute()方法外,还有PreparedStatement和CallableStatement两个子接口,分别用于预编译SQL语句和执行存储过程。此外,Statement还提供了批处理功能,可以用于执行多个SQL语句,提高执行效率。
总之,在使用JDBC进行数据库操作时,需要根据具体的业务需求选择不同的Statement及其子接口,以便更好地完成数据库操作。同时,为了避免SQL注入攻击等安全问题,我们应该尽可能地使用PreparedStatement等更安全的方式来执行SQL语句。