标签：style   blog   java   color   使用   strong   

本文介绍两个内容，为什么使用PreparedStatement？和PreparedStatement的addBatch()方法，由于工具经常用，所以先介绍addBatch()方法。

一、addBatch使用方法

昨天用JAVA做了一个导表的功能，数据量非常多，使用下面的缓冲方法非常使用。

1. 建立链接 

Connection connection =getConnection();

2. 去掉自动提交功能 Commit

connection.setAutoCommit(false);

3. 预编译SQL语句,只编译一回哦,效率高啊。

PreparedStatement statement = connection.prepareStatement("INSERT INTO TABLEX VALUES(?, ?)");

4. 注备语句

//记录1
statement.setInt(1, 1); 
statement.setString(2, "Cujo"); 
statement.addBatch(); 
//记录2
statement.setInt(1, 2); 
statement.setString(2, "Fred"); 
statement.addBatch(); 
//记录3
statement.setInt(1, 3); 
statement.setString(2, "Mark"); 
statement.addBatch(); 

5. 批量执行上面3条语句

int [] counts = statement.executeBatch(); 
//Commit it 咽下去,到肚子(DB)里面
connection.commit();

二、使用PreparedStatement的好处：

1、代码的可读性和可维护性：

虽然用PreparedStatement来代替Statement会使代码多出几行，但这样的代码无论从可读性还是可维护性上来说，都比直接用Statement的代码高很多档次:

--第一种方法
stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values (‘"+var1+"‘,‘"+var2+"‘,"+var3+",‘"+var4+"‘)");//stmt是Statement对象实例
-------------------------------------------------------------------------
--第二种方法
perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate(); //prestmt是 PreparedStatement 对象实例

一看便知，对于第一种方法，别说其他人去读你的代码，就是你自己过一段时间再去读，都会觉得伤心。

2、PreparedStatement尽最大可能提高性能：

语句在被DB的编译器编译后的执行代码被缓存下来，那么下次调用时只要是相同的预编译语句就不需要编译，只要将参数直接传入编译过的语句执行代码中(这相当于一个涵数)就会得到执行。这并不是说只有一个Connection中多次执行的预编译语句被缓存，而是对于整个DB中，只要预编译的语句语法和缓存中匹配，那么在任何时候就可以不需要再次编译而可以直接执行。

而statement的语句中，即使是相同一操作，而由于每次操作的数据不同所以使整个语句相匹配的机会极小，几乎不太可能匹配。比如:

insert into tb_name (col1,col2) values (‘11‘,‘22‘);
insert into tb_name (col1,col2) values (‘11‘,‘23‘);

即使是相同操作但因为数据内容不一样，所以整个个语句本身不能匹配，没有缓存语句的意义。事实是没有数据库会对普通语句编译后的执行代码缓存。

（当然并不是所有的预编译语句都一定会被缓存，数据库本身会用一种策略，比如使用频度等因素来决定什么时候不再缓存已有的预编译结果，以保存有更多的空间存储新的预编译语句。）

3、最重要的一点是提高了安全性：

可能到目前为止，仍有一些人连基本的恶义SQL语法都不知道：

String sql = "select * from tb_name where name= ‘"+varname+"‘ and passwd=‘"+varpasswd+"‘";

如果我们把[‘ or ‘1‘ = ‘1]作为varpasswd传入进来.用户名随意,看看会成为什么?

select * from tb_name = ‘随意‘ and passwd = ‘‘ or ‘1‘ = ‘1‘;

因为‘1‘=‘1‘肯定成立，所以可以任何通过验证。这算比较委婉的，更有甚者把[‘;drop table tb_name;]作为varpasswd传入进来... 关于数据安全方面的内容这里就不做展开讨论了，总之使用PreparedStatement让执行的SQL更安全。

JAVA的PreparedStatement和addBatch()方法,布布扣,bubuko.com

JAVA的PreparedStatement和addBatch()方法

标签：style   blog   java   color   使用   strong   

原文地址：http://www.cnblogs.com/liqiu/p/3825544.html