生產(chǎn)環(huán)境下一定要考慮使用 PreparedStatement勾哩!
JDBC為什么要使用PreparedStatement而不是Statement
PreparedStatement是用來執(zhí)行SQL查詢語句的API之一
PreparedStatement經(jīng)常會在Java面試被提及:
- 為什么要用PreparedStatement
- 使用PreparedStatement有什么樣的優(yōu)勢
- Statement與PreparedStatement的區(qū)別
- PreparedStatement是如何避免SQL注入攻擊的
PreparedStatement是什么
PreparedStatement是java.sql包下面的一個接口抗蠢,用來執(zhí)行SQL語句查詢举哟,通過調用connection.preparedStatement(sql)方法可以獲得PreparedStatment對象。
數(shù)據(jù)庫系統(tǒng)會對sql語句進行預編譯處理(如果JDBC驅動支持的話)迅矛,預處理語句將被預先編譯好妨猩,這條預編譯的sql查詢語句能在將來的查詢中重用,這樣一來秽褒,它比Statement對象生成的查詢速度更快壶硅。下面是一個例子:
public class PreparedStmtExample {
public static void main(String args[]) throws SQLException {
Connection conn = DriverManager.getConnection("mysql:\\localhost:3306", "root", "root");
PreparedStatement preStatement = conn.prepareStatement("select distinct loan_type from loan where bank=?");
preStatement.setString(1, "Citibank");
ResultSet result = preStatement.executeQuery();
while(result.next()){
System.out.println("Loan Type: " + result.getString("loan_type"));
}
}
}
這個例子中,如果還是用 PreparedStatement 做同樣的查詢销斟,哪怕參數(shù)值不一樣庐椒,比如:”Standard Chated” 或者”HSBC”作為參數(shù)值,數(shù)據(jù)庫系統(tǒng)還是會去調用之前編譯器編譯好的執(zhí)行語句(系統(tǒng)庫系統(tǒng)初次會對查詢語句做最大的性能優(yōu)化)蚂踊。默認會返回”TYPE_FORWARD_ONLY”類型的結果集( ResultSet ),當然你也可以使用preparedstatment()的重載方法返回不同類型的結果集约谈。
預處理語句的優(yōu)勢
PreparedStatement提供了諸多好處,企業(yè)級應用開發(fā)中強烈推薦使用PreparedStatement來做SQL查詢犁钟,下面列出PreparedStatement的幾點優(yōu)勢
1 PreparedStatement可以寫動態(tài)參數(shù)化的查詢
用PreparedStatement你可以寫帶參數(shù)的sql查詢語句窗宇,通過使用相同的sql語句和不同的參數(shù)值來做查詢比創(chuàng)建一個不同的查詢語句要好,下面是一個參數(shù)化查詢:
SELECT interest_rate FROM loan WHERE loan_type=?
現(xiàn)在可以使用任何一種loan類型如:”personal loan”,”home loan” 或者”gold loan”來查詢特纤,這個例子叫做參數(shù)化查詢军俊,因為它可以用不同的參數(shù)調用它,這里的”?”就是參數(shù)的占位符捧存。
2 PreparedStatement比 Statement 更快
使用 PreparedStatement 最重要的一點好處是它擁有更佳的性能優(yōu)勢粪躬,SQL語句會預編譯在數(shù)據(jù)庫系統(tǒng)中。執(zhí)行計劃同樣會被緩存起來昔穴,它允許數(shù)據(jù)庫做參數(shù)化查詢镰官。使用預處理語句比普通的查詢更快,因為它做的工作更少(數(shù)據(jù)庫對SQL語句的分析吗货,編譯泳唠,優(yōu)化已經(jīng)在第一次查詢前完成了)。為了減少數(shù)據(jù)庫的負載宙搬,生產(chǎn)環(huán)境中德JDBC代碼你應該總是使用PreparedStatement 笨腥。值得注意的一點是:為了獲得性能上的優(yōu)勢,應該使用參數(shù)化sql查詢而不是字符串追加的方式勇垛。下面兩個SELECT 查詢脖母,第一個SELECT查詢就沒有任何性能優(yōu)勢。
SQL Query 1:字符串追加形式的PreparedStatement
String loanType = getLoanType();
PreparedStatement prestmt = conn.prepareStatement("select banks from loan where loan_type=" + loanType);
SQL Query 2:使用參數(shù)化查詢的PreparedStatement
PreparedStatement prestmt = conn.prepareStatement("select banks from loan where loan_type=?");
prestmt.setString(1,loanType);
第二個查詢就是正確使用PreparedStatement的查詢闲孤,它比SQL1能獲得更好的性能
3 PreparedStatement可以防止SQL注入式攻擊
做Java web應用開發(fā)必須熟悉那聲名狼藉的SQL注入式攻擊
比如:某個網(wǎng)站的登錄驗證SQL查詢代碼為:
strSQL = "SELECT * FROM users WHERE name = '" + userName + "' and pw = '"+ passWord +"';"
惡意填入:
userName = "1' OR '1'='1";
passWord = "1' OR '1'='1";
那么最終SQL語句變成了:
strSQL = "SELECT * FROM users WHERE name = '1' OR '1'='1' and pw = '1' OR '1'='1';"
因為WHERE條件恒為真谆级,這就相當于執(zhí)行:
strSQL = "SELECT * FROM users;"
因此可以達到無賬號密碼亦可登錄網(wǎng)站。如果惡意用戶要是更壞一點,用戶填入:
strSQL = "SELECT * FROM users;"
SQL語句變成了:
strSQL = "SELECT * FROM users WHERE name = 'any_value' and pw = ''; DROP TABLE users"
這樣一來肥照,雖然沒有登錄脚仔,但是數(shù)據(jù)表都被刪除了。
然而使用PreparedStatement的參數(shù)化的查詢可以阻止大部分的SQL注入舆绎。在使用參數(shù)化查詢的情況下玻侥,數(shù)據(jù)庫系統(tǒng)(eg:MySQL)不會將參數(shù)的內(nèi)容視為SQL指令的一部分來處理,而是在數(shù)據(jù)庫完成SQL指令的編譯后亿蒸,才套用參數(shù)運行,因此就算參數(shù)中含有破壞性的指令掌桩,也不會被數(shù)據(jù)庫所運行边锁。
4 比起凌亂的字符串追加似的查詢,PreparedStatement查詢可讀性更好波岛、更安全茅坛。
PreparedStatement的局限性
盡管PreparedStatement非常實用,但是它仍有一定的限制
1 為了防止SQL注入攻擊则拷,PreparedStatement不允許一個占位符(贡蓖?)有多個值,在執(zhí)行有IN子句查詢的時候這個問題變得棘手起來煌茬。下面這個SQL查詢使用PreparedStatement就不會返回任何結果
SELECT * FROM loan WHERE loan_type IN (?)
preparedSatement.setString(1, "'personal loan', 'home loan', 'gold loan'");
小結
關于PreparedStatement接口,需要重點記住的是:
1 PreparedStatement可以寫參數(shù)化查詢,比Statement能獲得更好的性能恕稠。
2 對于PreparedStatement來說搞乏,數(shù)據(jù)庫可以使用已經(jīng)編譯過及定義好的執(zhí)行計劃,這種預處理語句查詢比普通的查詢運行速度更快眠屎。
3 PreparedStatement可以阻止常見的SQL注入式攻擊剔交。
4 PreparedStatement可以寫動態(tài)查詢語句
5 PreparedStatement與java.sql.Connection對象是關聯(lián)的,一旦你關閉了connection改衩,PreparedStatement也沒法使用了岖常。
6 “?” 叫做占位符。
7 PreparedStatement查詢默認返回FORWARD_ONLY的ResultSet葫督,你只能往一個方向移動結果集的游標竭鞍。當然你還可以設定為其他類型的值如:”CONCUR_READ_ONLY”。
8 不支持預編譯SQL查詢的JDBC驅動橄镜,在調用connection.prepareStatement(sql)的時候笼蛛,它不會把SQL查詢語句發(fā)送給數(shù)據(jù)庫做預處理,而是等到執(zhí)行查詢動作的時候(調用executeQuery()方法時)才把查詢語句發(fā)送個數(shù)據(jù)庫蛉鹿,這種情況和使用Statement是一樣的滨砍。
9 占位符的索引位置從1開始而不是0,如果填入0會導致java.sql.SQLException invalid column index異常。所以如果PreparedStatement有兩個占位符惋戏,那么第一個參數(shù)的索引時1领追,第二個參數(shù)的索引是2.
你仍然可以使用Statement對象用來做做測試。但是在生產(chǎn)環(huán)境下你一定要考慮使用 PreparedStatement响逢。
拓展閱讀:
深入 理解 Statement 和 PreparedStatement
世界上所有的追求都是因為熱愛
一枚愛編碼 愛生活 愛分享的IT信徒
— hongXkeX
