在 JDBC 应用程序中,JDBC 语句对象用于将 SQL 语句发送到数据库服务器。一个语句对象与一个连接相关联,应用程序与数据库服务器之间的通信由语句对象来处理。
JDBC 中有三种类型的语句对象:
1. 常规语句(General statement)
2. 预置语句(Prepared statement)
3. 可调用语句(Callable statement)
语句对象与一个连接相关联,所以要创建一个语句对象,首先应该建立一个数据库连接。连接的获取见上一篇博客。
关于这三种语句,个人觉得最有价值的就是 预置语句,下面说说为什么
1)预置语句 可以避免sql参数注入。如果使用常规的statement,那么用户可以注入sql语句,把一个本应该是传入参数的变量变成了SQL注入变量。然而,如果使用预置语句,那么变量的值是不可能传入SQL的。这个在查询的时候如果你把条件设为 or 1=1 得到体现。
2)预置语句 可以高效操作,原因是语句只要编译一次。对于一条模板SQL,我们可能需要执行多次,每次只是传入的参数不一样,那么如果我们使用常规语句则会每次执行时在数据库编译一次,然而,如果采用预置语句,则只会编译一次,这样效率大大提高。
3)预置语句 可以批量操作。对于一些特殊的业务逻辑处理,我们可能会一次更新多条数据,然而如果我们每次都去获取语句执行SQL的话效率必然降低,但是,如果采用预置语句的批量操作,效率会提高很多。
4)关于可更新的结果集以及可滚动的结果集,在下一篇博客中结果集说明,注意批量操作与结果集的滚动与更新并不是预置语句独有的优点,常规语句也可以实现,预置语句两个特点就是预编译和防止SQL语句作为变量注入。
下面是对三种语句的详细介绍,内容转载自
http://blog.csdn.net/athenaer/article/details/8696311
可以使用连接的 createStatement
方法创建这种语句。这种语句专用于不需要传递任何值作为参数的 SQL 语句。
Statement stmt = con.createStatement(); cmd = "create database testDB;"; rc = stmt.executeUpdate(cmd); stmt.close(); |
预置语句是 statement 类的一个子类。预置语句与 statement 类的主要区别在于,前者可以只编译和优化一次,然后通过设置不同的参数值多次使用。所以,如果想多次执行一条语句,那么预置语句是更好的选择。由于已经预先编译好,所以减少了执行时间。因此,预置语句的优点是,它不仅包含一条 SQL 语句,而且还是一条预先编译好的 SQL 语句。另一个区别是,SQL 语句在创建后就被提供给预置语句。
PreparedStatement pstmt = con.prepareStatement("UPDATE tab1 "+ "set col1 = ? where key = 1"); pstmt.setShort(1, (short)2); int rowcount = pstmt.executeUpdate(); |
在此,同一个预置语句可用于不同的 col1 值。参数一旦设定,它的值将保持不变,直到被重新设置或者 clearParameters
被调用。这项特性使得预置语句可以用于批量处理 INSERT
/UPDATE
。
通过设置多个值,批量更新特性提高了需要多次执行的语句的性能。这样可以将多个更新操作提交到一个数据源并进行一次性处理。语句对象也可以使用批量更新。但语句对象提交不同的 SQL 语句进行批处理,而预置语句提交的是一组参数。
清单 4 显示了如何使用预置语句进行批量插入:
PreparedStatement pst = conn.prepareStatement("insert into tab1 values (?)"); for loop.... { pst.setInt (1, i); pst.addBatch(); } pst.executeBatch(); |
addBatch
方法将语句添加到一个缓存中,然后使用 executeBatch()
方法转储到数据库中。所以它节省了语句的编译/优化,因为它只编译一次(对于预置语句),而且还节省了与服务器之间的往返,因为它一次性发送了批量插入。
这是调用 SQL 语句的第三种方法,它提供了一种从 Java? 程序中调用服务器上的存储过程的方式。可调用语句也需要先作准备,然后使用 set 方法设置它们的参数。可以通过以下两种方式设置参数值:
- 顺序位置
- 命名参数
顺序位置是传统的参数设置方式,它根据参数在 CallableStatements 中的位置来设置参数。但是,命名参数则提供了更大的灵活性,它允许根据名称而不是顺序位置来设置参数。在调用例程时,必须以名称或顺序格式指定 CallableStatement 的参数。例如,如果对一个参数使用了参数名称,那么对所有其他参数也必须使用参数名称。
在调用具有许多参数,而且其中一些参数有默认值的存储过程时,命名参数特别有用。如果过程是惟一的,那么可以省略有默认值的参数,并且可以按任意顺序输入参数。命名参数使应用程序更加健壮,所以,即使存储过程中参数的顺序发生了改变,也不必修改应用程序。
JDBC 驱动程序提供了 DatabaseMetaData.supportsNamedParameters()
方法来确认驱动程序和 RDMS 是否支持 CallableStatement 中的命名参数。如果支持命名参数,则系统返回 true。例如:
清单 5. supportsNamedParameters() 的使用
Connection myConn = . . . // connection to the RDBMS for Database DatabaseMetaData dbmd = myConn.getMetaData(); if (dbmd.supportsNamedParameters() == true) { System.out.println("NAMED PARAMETERS FOR CALLABLE" + "STATEMENTS IS SUPPORTED"); } |
可以使用 DatabaseMetaData
的 getprocedureColumns
获取存储过程的参数名称,该方法的定义如清单 6 所示:
清单 6. getProcedureColumn() 方法的使用
Connection myConn = . . . // connection to the RDBMS for Database . . DatabaseMetaData dbmd = myConn.getMetaData(); ResultSet rs = dbmd.getProcedureColumns( "myDB", schemaPattern, procedureNamePattern, columnNamePattern); rs.next() { String parameterName = rs.getString(4); - - - or - - - String parameterName = rs.getString("COLUMN_NAME"); - - - System.out.println("Column Name: " + parameterName); |
与 getProcedureColumns()
方法的参数相匹配的所有列的名称都将被显示。
清单 7 显示了 CallableStatements 中的命名参数的使用。
创建存储过程
create procedure createProductDef(productname varchar(64), productdesc varchar(64), listprice float, minprice float, out prod_id float); . . . let prod_id="value for prod_id"; end procedure; |
清单 8 中的 Java 代码首先创建一个有 5 个参数的 CallableStatement,这 5 个参数与存储过程中的参数相对应。JDBC 调用的括号中的问号字符 (?) 对参数进行引用。设置或注册所有的参数。使用格式 cstmt.setString("arg", name); 命名参数,其中 arg 是相应的存储过程中的参数名称。这里不需要按照存储过程中的参数顺序来命名参数。
String sqlCall = "{call CreateProductDef(?,?,?,?,?)}"; CallableStatement cstmt = conn.prepareCall(sqlCall); cstmt.setString("productname", name); // Set Product Name. cstmt.setString("productdesc", desc); // Set Product Description. cstmt.setFloat("listprice", listprice); // Set Product ListPrice. cstmt.setFloat("minprice", minprice); // Set Product MinPrice. // Register out parameter which should return the product is created. cstmt.registerOutParameter("prod_id", Types.FLOAT); // Execute the call. cstmt.execute(); // Get the value of the id from the OUT parameter: prod_id float id = cstmt.getFloat("prod_id"); |
如果 CallableStatement 中的参数数量少于存储过程中的参数数量,那么剩下的参数必须有默认值。不需要为有默认值的参数设置值,因为服务器会自动使用默认值。例如,如果一个存储过程有 10 个参数,其中 4 个参数没有默认值,6 个参数有默认值,那么在 CallableStatement 中必须至少有 4 个问号。也可以使用 5 个、6 个或至多 10 个问号。在下面这个惟一的存储过程中,参数listprice
和 minprice
有默认值:
create procedure createProductDef(productname varchar(64), productdesc varchar(64), listprice float default 100.00, minprice float default 90.00, out prod_id float); . . . let prod_id = value for prod_id; end procedure; |
清单 10 中的 Java 代码使用少于存储过程中参数数量的参数(存储过程中有 5 个参数,而代码中只使用 4 个参数)调用存储过程。由于 listprice
有一个默认值,因此可以在 CallableStatement 中省略它。
String sqlCall = "{call CreateProductDef(?,?,?,?)}"; // 4 params for 5 args CallableStatement cstmt = conn.prepareCall(sqlCall); cstmt.setString("productname", name); // Set Product Name. cstmt.setString("productdesc", desc); // Set Product Description. cstmt.setFloat("minprice", minprice); // Set Product MinPrice. // Register out parameter which should return the product id created. cstmt.registerOutParameter("prod_id", Types.FLOAT); // Execute the call. cstmt.execute(); // Get the value of the id from the OUT parameter: prod_id float id = cstmt.getFloat("prod_id"); |
如果可调用语句包含 OUT
或 INOUT
参数,那么需要使用 CallableStatement 的 registerOutParameter
注册这些参数。清单 11 使用out
参数 prod_id
创建一个具有 OUT
参数的存储过程。类似地,可以使用关键字 INOUT
创建 INOUT
参数。
create procedure createProductDef(productname varchar(64), productdesc varchar(64), inout listprice float default 100.00, minprice float default 90.00, out prod_id float); |
清单 12 使用 CallableStatements registerOutparameter
方法注册 CallableStatement 的 out
参数。
清单 12. 使用 CallableStatement 注册 OUT 参数
cstmt.registerOutParameter("prod_id", Types.FLOAT); |
清单 13 将使用命名参数特性的所有语句合并在一起:
package Callable; import java.sql.CallableStatement; import java.sql.Connection; import java.sql.DriverManager; import java.sql.ResultSet; import java.sql.SQLException; import java.sql.Statement; import java.sql.Types; public class out1 { static Connection conn; public static void main(String[] args) { getConnect(); System.out.println("Connection Established"); createProc(); runthis(); System.out.println("\n=============Finished============="); System.exit(0); } private static void getConnect() { try { Class.forName("com.informix.jdbc.IfxDriver"); String url = "jdbc:informix-sqli://host name or ip :porn number/database name:informixserver=dbservername;"; System.out.println("URL: "+url); conn = DriverManager.getConnection(url); } catch( Exception e ) { e.printStackTrace(); System.exit(1); } } private static void createProc() { String str=null; Statement stmt = null; try { stmt = conn.createStatement(); } catch (SQLException e2) { e2.printStackTrace(); } str="drop function c_out_proc"; try { stmt.executeUpdate (str); } catch (SQLException e1) { } str = "create function c_out_proc ( i int, OUT d varchar(20) ) \n" + "returning float; \n" + "define f float; \n" + "let d= \"Hello OUT\"; \n" + "let f=i*2; \n" + "return f; \n" + "end function; \n"; try { stmt.executeUpdate (str); System.out.println("Function created \n"); } catch (SQLException e) { System.out.println("Error on creating function: " + e.toString()); System.exit(1); } } private static void runthis() { CallableStatement cstmt = null; String command = "{? = call c_out_proc(?, ?)} "; try { cstmt = conn.prepareCall (command); cstmt.setInt(1, 2); cstmt.registerOutParameter(2, Types.VARCHAR); ResultSet rs = cstmt.executeQuery(); if (rs == null) { System.out.println("rs is null *** this is BAD."); System.exit(0); } else { rs.next(); System.out.println(rs.getFloat(1)); System.out.println(cstmt.getString(2)); } } catch (SQLException e) { e.printStackTrace(); } } } |