关于PreparedStatement你知道多少，PreparedStatement

序言      

         对应PreparedStatement相信大家都很熟悉，那么为什么要用PreparedStatement呢？也许你会回答PreparedStatement为预处理语句，可以提高数据库执行效率。也许还会回答用PreparedStatement可以防止SQL注入。那么再问下，你觉得你对PreparedStatement有足够的了解吗，你在项目中PreparedStatement用对了吗？

原理分析

        首先来看下Statement及PreparedStatement执行过程，一个sql语句执行过程中，将经历这么几个步骤：

1、传输SQL给数据库

2、数据库验证并解析SQL

3、计算Access Plan。数据库会通过检测index，statistics来给出最优的访问计划。

4、根据访问计划进行检索，返回数据。

在上面步骤中，第3步是非常耗时的。因此，为了提高性能，数据库会缓存执行语句以及其Access Plan。这被称为statement cache。在statement cache中，sql语句本身为key，access plan为value。当相同的sql语句被发送过来时，数据库会使用缓存中的access plan以节省cpu时间。

下边看下Statement执行代码：

Statement statement = connection.createStatement();
String sql1="Select * from test where id=1";
String sql2="Select * from test where id=";
statement.execute(sql1);
statement.execute(sql1);
statement.execute(sql1);
statement.execute(sql2+"2");
statement.execute(sql2+"3");

sql1在第一次执行的时候，需要计算执行计划。但在第2和3次执行的时候，会使用缓存好的执行计划，因此后面的sql1不会再重新检验语法与计算执行计划，效率会比第一次高。

sql2却每次都在变化，在cache中，key为整个sql语句，所以每次sql2都无法命中cache，即使它仅仅参数不同，也必须重新检验语法与计算执行计划，效率自然就低下。

强大的数据库会在cache命中上做优化，但复杂的语句还是避免不了miss。

PreparedStatement的存在是为了避免sql2的劣势。看下面code。

String sql2="Select * from test where id=?";
PreparedStatement pstmt = connection.prepareStatement(sql2);
pstmt.setInt(1,2);
pstmt.executQuery();
pstmt.setInt(1,3);
pstmt.executQuery();

PreparedStatement在创建的时候，会将参数化的语句发送给数据库，进行语法检测和执行计划计算。Cache中的key将是参数化的语句。当后面preparedstatement在执行的时候，每次均会命中cache，使用已存在的access plan进行检索。

如何正确使用

        PreparedStatement的生命周期跟Statement一样，在一个数据库连接connection范围内有效，所以说如果一次连接中对于同一个PreparedStatement处理多次（参数不同），那么用PreparedStatement是可以提高效率，但大多情景都是多次连接中处理同一个PreparedStatement，那么就算使用了PreparedStatement也不能提高效率，比较PreparedStatement的生命周期只在Connection中。那么如何正确的使用PreparedStatement呢？

        其实不用紧张，告诉大家个好消息，J2EE服务器的连接池管理器已经实现了缓存的使用。J2EE服务器保持着连接池中每一个连接准备过的prepared statement列表。当我们在一个连接上调用preparedStatement时，应用服务器会检查这个statement是否曾经准备过。如果是，这个PreparedStatement会被返回给应用程序。如果否，调用会被转给JDBC驱动程序，然后将新生成的statement对象存入连接缓存。

        如果项目未使用数据库连接池怎么办呢，这里只能告诉你，原理你已经很清楚了，自己实现吧。

// PreparedStatement stm=con.prepareStatement("insert into TBL_USER values(?,?)");
// stm.setString(1, user.getUname());
// stm.setString(2, user.getUpass());
//
// int count=stm.executeUpdate();

PreparedStatement stm=con.prepareStatement("select * from TBL_USER where uname=? and upass=?");
// stm.setString(1, user.getUname());
// stm.setString(2, user.getUpass());
// ResultSet rs=stm.executeQuery();
// if(rs.next()){
// u=new User();
// u.setUid(rs.getInt(1));
// u.setUname(rs.getString(2));
// u.setUpass(rs.getString(3));
// }

PreparedStatement stm=con.prepareStatement("insert into tbl_fwxx values(?,?,?,?,?,?,?,?,?,?,?)");
// stm.setInt(1, fx.getUid());
// stm.setInt(2, fx.getJdid());
// stm.setInt(3, fx.getLxid());
// stm.setInt(4, fx.getShi());
// stm.setInt(5, fx.getTing());
// stm.setString(6, fx.getFwxx());
// stm.setDouble(7,fx.getZj());
// stm.setString(8, fx.getTitle());
// java.sql.Date date=new java.sql.Date(fx.getDate().getTime());
// stm.setDate(9,date );
// stm.setString(10, fx.getTelephone());
// stm.setString(11, fx.getLxr());
// int count =stm.executeUpdate();

PreparedStatement stm=con.prepareStatement("delete from tbl_fwxx where fwid="+fwid);
// count=stm.execute......余下全文>>
 

在JDBC应用中,如果你已经是稍有水平开发者,你就应该始终以PreparedStatement代替Statement.也就是说,在任何时候都不要使用Statement

一.代码的可读性和可维护性.
虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说.都比直接用Statement的代码高很多档次:

stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");

perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate();

不用我多说,对于第一种方法.别说其他人去读你的代码,就是你自己过一段时间再去读,都会觉得伤心.

二.PreparedStatement尽最大可能提高性能.
每一种数据库都会尽最大努力对预编译语句提供最大的性能优化.因为预编译语句有可能被重复调用.所以语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行.这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配.那么在任何时候就可以不需要再次编译而可以直接执行.而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配.比如:
insert into tb_name (col1,col2) values ('11','22');
insert into tb_name (col1,col2) values ('11','23');
即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次.

当然并不是所以预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果.以保存有更多的空间存储新的预编译语句.

三.最重要的一点是极大地提高了安全性.

即使到目前为止,仍有一些人连基本的恶义SQL语法都不知道.
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
如果我们把[' or '1'......余下全文>>