Java的PreparedStatement如何工作?
我打算用PreparedStatement个对象替换重复执行的Statement对象,以提高性能。我使用的是像MySQL函数now()和字符串变量这样的参数。
我见过的大多数PreparedStatement查询都包含常量值(如10和"New York"之类的字符串)作为查询中?的参数。我将如何使用now()等函数和变量作为参数?是否有必要在查询中使用?而不是实际值?我很困惑。
5 个答案:
答案 0 :(得分:11)
如果你有一个来自用户输入的变量,你必须使用?而不是连接字符串。用户可能会恶意输入字符串,如果将字符串直接放入SQL,它可以运行您不想要的命令。
我意识到这个被过度使用了,但它完美地说:
答案 1 :(得分:9)
如果您有变量,请使用'?'
int temp = 75;
PreparedStatement pstmt = con.prepareStatement(
"UPDATE test SET num = ?, due = now() ");
pstmt.setInt(1, temp);
pstmt.executeUpdate():
生成一个类似于:
的sql语句UPDATE test SET num = 75, due = now();
答案 2 :(得分:0)
您不必在PreparedStatement中使用占位符。类似的东西:
PreparedStatement stmt = con.prepareStatement("select sysdate from dual");
会工作得很好。但是,您不能使用占位符,然后将函数调用绑定到它。这样的东西不能用来调用sysdate函数:
PreparedStatement stmt = con.prepareStatement("select ? from dual");
stmt.setSomethingOrOther(1, "sysdate");
答案 3 :(得分:0)
如果您正在调用SQL Server的内置函数,请使用PreparedStatement。
如果要调用已加载到SQL Server上的存储过程,请使用CallableStatement。
使用问号作为您传递的函数/过程参数的占位符以及您正在接收的函数返回值。
答案 4 :(得分:0)
我开发了一个允许您在SQL查询中使用命名参数的函数:
private PreparedStatement generatePreparedStatement(String query, Map<String, Object> parameters) throws DatabaseException
{
String paramKey = "";
Object paramValue = null;
PreparedStatement statement = null;
Pattern paramRegex = null;
Matcher paramMatcher = null;
int paramIndex = 1;
try
{
//Create the condition
paramRegex = Pattern.compile("(:[\\d\\w_-]+)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE);
paramMatcher = paramRegex.matcher(query);
statement = this.m_Connection.prepareStatement(paramMatcher.replaceAll("?"),
ResultSet.TYPE_FORWARD_ONLY,
ResultSet.CONCUR_READ_ONLY,
ResultSet.HOLD_CURSORS_OVER_COMMIT);
//Check if there are parameters
paramMatcher = paramRegex.matcher(query);
while (paramMatcher.find())
{
paramKey = paramMatcher.group().substring(1);
if(parameters != null && parameters.containsKey(paramKey))
{
//Add the parameter
paramValue = parameters.get(paramKey);
if (paramValue instanceof Date)
{
statement.setDate(paramIndex, (java.sql.Date)paramValue);
}
else if (paramValue instanceof Double)
{
statement.setDouble(paramIndex, (Double)paramValue);
}
else if (paramValue instanceof Long)
{
statement.setLong(paramIndex, (Long)paramValue);
}
else if (paramValue instanceof Integer)
{
statement.setInt(paramIndex, (Integer)paramValue);
}
else if (paramValue instanceof Boolean)
{
statement.setBoolean(paramIndex, (Boolean)paramValue);
}
else
{
statement.setString(paramIndex, paramValue.toString());
}
}
else
{
throw new DatabaseException("The parameter '" + paramKey + "' doesn't exists in the filter '" + query + "'");
}
paramIndex++;
}
}
catch (SQLException l_ex)
{
throw new DatabaseException(tag.lib.common.ExceptionUtils.getFullMessage(l_ex));
}
return statement;
}
你可以这样使用它:
Map<String, Object> pars = new HashMap<>();
pars.put("name", "O'Really");
String sql = "SELECT * FROM TABLE WHERE NAME = :name";
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?