java.sql使用PreparedStatement执行参数化查询

By
写代码

这两周在用java写网站。其实刚开始写只是一两个网页,老板只是让展示一下存储的报告内容,所以我们把xml报告加个xls生成html,直接嵌套进网页就可以,但是随着报告越来越多,要展示的内容从本地一直延伸到深圳上海等地方,所以就开始琢磨着搞数据库。当然知道这玩意有一万个好处,但是能应付就不想大改。小明哥压力越来越大,最终决定:改!于是第一个版本应运而生。但是一直做下来,发现还是用数据库来连接各种内容,组织各种报表、图形、趋势图都得心应手。

学知识就像说话,如果常常开口说,会知道原来有那么多说话的技巧还不会;如果不开口,就以为身边尽是些满嘴空话假话的傻逼。

我一直以为连接两个数据库,只要查询一个然后join另外一个就可以了。但是……尼玛……

比如,我有两个数据库,

A:
project SN info
B:
SN city owner

我要过滤到属于某个city的所有SN,然后从A中取到SN的info。

首先,最直接的办法,跨database查询,即直接database.table找到想要的value,多个database似乎多生成几个database样的语句就可以了,但是在Struts这里,好像不行。项目目前使用c3p0来连接数据库,必须要定义不同的数据库,接着分别写各种连接、查询、关闭,数据库中间似乎没办法做任何交互。

接着想到如果先从B中查到符合的SN条目,然后从A中过滤出条目就行了,虽然要查询两次,相比较第一种方法会慢很多,但是似乎可以绕过方法1无法跨database的坑。

于是查到,除了直接使用statement,还可以使用PreparedStatement(和CallableStatement)这样的东西,预留参数(?),在需要的时候用固定的字符串替换之。于是基本思路就出来了:

PreparedStatement本来就有setArray的函数,直接替换就很简单哈。但是一写就遇到问题了:

去stackoverflow查了半天,终于找到一句靠谱的:

arrayinsql

马丹!!

那不如用setString?把values直接转换成String然后替换之?

但是实际操作发现不可能,因为整个values会作为一个字符串,如果直接放入,sql会把其中的”‘”(单引号)做转义即变成”\'”。形如select SN from B where city in ('bj\',\'sh\',\'cd\',\'sz\',\'tj'),查询出错。

事情到这里,似乎不会好了,因为已经弄了一个多小时了,抓狂只在一瞬间……

突然想到,不如多放几个问号,挨个替换?

写了一段代码,运行之,没有问题。

感谢下面的笔记:

关于PreparedStatement接口,需要重点记住的是:
1. PreparedStatement可以写参数化查询,比Statement能获得更好的性能。
2. 对于PreparedStatement来说,数据库可以使用已经编译过及定义好的执行计划,这种预处理语句查询比普通的查询运行速度更快。
3. PreparedStatement可以阻止常见的SQL注入式攻击。
4. PreparedStatement可以写动态查询语句
5. PreparedStatement与java.sql.Connection对象是关联的,一旦你关闭了connection,PreparedStatement也没法使用了。
6. “?” 叫做占位符。
7. PreparedStatement查询默认返回FORWARD_ONLY的ResultSet,你只能往一个方向移动结果集的游标。当然你还可以设定为其他类型的值如:”CONCUR_READ_ONLY”。
8. 不支持预编译SQL查询的JDBC驱动,在调用connection.prepareStatement(sql)的时候,它不会把SQL查询语句发送给数据库做预处理,而是等到执行查询动作的时候(调用executeQuery()方法时)才把查询语句发送个数据库,这种情况和使用Statement是一样的。
9. 占位符的索引位置从1开始而不是0,如果填入0会导致*java.sql.SQLException invalid column index*异常。所以如果PreparedStatement有两个占位符,那么第一个参数的索引时1,第二个参数的索引是2.

总结下来,今天学到了:积极查资料,了解前因后果,怎么使用PreparedStatement,以及

感悟越学越觉得java好无力……

Comments: 4

  1. 这种事情其实用py(xml)+mongo(sql)更简单,那天工作用java写解析日志组gz压缩的数据,java stream和str的转换烦死我了。
    多年不见修哥还是这么有战斗力啊 :twisted:

    2015年09月23日
  2. 我还是 sql 鸡肋…

    @zwwooooo 2015年09月23日
  3. 研究过程应该挺享受。

    @zhengyong100 2015年09月26日
  4. :eek: 昨天刚学,今天就用到了,学习了!感谢分享

    2016年10月26日

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*

:razz: