本文介绍两个内容,为什么使用PreparedStatement?和PreparedStatement的addBatch()方法,由于工具经常用,所以先介绍addBatch()方法。
一、addBatch使用方法
昨天用JAVA做了一个导表的功能,数据量非常多,使用下面的缓冲方法非常使用。
1. 建立链接
Connection connection =getConnection();
2. 去掉自动提交功能 Commit
connection.setAutoCommit(false);
3. 预编译SQL语句,只编译一回哦,效率高啊。
PreparedStatement statement = connection.prepareStatement("INSERT INTO TABLEX VALUES(?, ?)");
4. 注备语句
//记录1 statement.setInt(1, 1); statement.setString(2, "Cujo"); statement.addBatch(); //记录2 statement.setInt(1, 2); statement.setString(2, "Fred"); statement.addBatch(); //记录3 statement.setInt(1, 3); statement.setString(2, "Mark"); statement.addBatch();
5. 批量执行上面3条语句
int [] counts = statement.executeBatch(); //Commit it 咽下去,到肚子(DB)里面 connection.commit();
二、使用PreparedStatement的好处:
1、代码的可读性和可维护性:
虽然用PreparedStatement来代替Statement会使代码多出几行,但这样的代码无论从可读性还是可维护性上来说,都比直接用Statement的代码高很多档次:
--第一种方法
stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values (‘"+var1+"‘,‘"+var2+"‘,"+var3+",‘"+var4+"‘)");//stmt是Statement对象实例 ------------------------------------------------------------------------- --第二种方法
perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)"); perstmt.setString(1,var1); perstmt.setString(2,var2); perstmt.setString(3,var3); perstmt.setString(4,var4); perstmt.executeUpdate(); //prestmt是 PreparedStatement 对象实例
一看便知,对于第一种方法,别说其他人去读你的代码,就是你自己过一段时间再去读,都会觉得伤心。
2、PreparedStatement尽最大可能提高性能:
语句在被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中(这相当于一个涵数)就会得到执行。这并不是说只有一个Connection中多次执行的预编译语句被缓存,而是对于整个DB中,只要预编译的语句语法和缓存中匹配,那么在任何时候就可以不需要再次编译而可以直接执行。
而statement的语句中,即使是相同一操作,而由于每次操作的数据不同所以使整个语句相匹配的机会极小,几乎不太可能匹配。比如:
insert into tb_name (col1,col2) values (‘11‘,‘22‘); insert into tb_name (col1,col2) values (‘11‘,‘23‘);
即使是相同操作但因为数据内容不一样,所以整个个语句本身不能匹配,没有缓存语句的意义。事实是没有数据库会对普通语句编译后的执行代码缓存。
(当然并不是所有的预编译语句都一定会被缓存,数据库本身会用一种策略,比如使用频度等因素来决定什么时候不再缓存已有的预编译结果,以保存有更多的空间存储新的预编译语句。)
3、最重要的一点是提高了安全性:
可能到目前为止,仍有一些人连基本的恶义SQL语法都不知道:
String sql = "select * from tb_name where name= ‘"+varname+"‘ and passwd=‘"+varpasswd+"‘";
如果我们把[‘ or ‘1‘ = ‘1]作为varpasswd传入进来.用户名随意,看看会成为什么?
select * from tb_name = ‘随意‘ and passwd = ‘‘ or ‘1‘ = ‘1‘;
因为‘1‘=‘1‘肯定成立,所以可以任何通过验证。这算比较委婉的,更有甚者把[‘;drop table tb_name;]作为varpasswd传入进来... 关于数据安全方面的内容这里就不做展开讨论了,总之使用PreparedStatement让执行的SQL更安全。