Java Statement PK PrepareStatement

PreparedStatement是用來執行SQL查詢語句的API之一，Java提供了?Statement、PreparedStatement?和?CallableStatement三種方式來執行查詢語句，其中?Statement?用于通用查詢，?PreparedStatement?用于執行參數化查詢，而?CallableStatement則是用于存儲過程。同時PreparedStatement還經常會在Java面試被提及，譬如：Statement與PreparedStatement的區別以及如何避免SQL注入式攻擊？這篇教程中我們會討論為什么要用PreparedStatement？使用PreparedStatement有什么樣的優勢？PreparedStatement又是如何避免SQL注入攻擊的？

PreparedStatement是什么？

PreparedStatement是java.sql包下面的一個接口，用來執行SQL語句查詢，通過調用connection.preparedStatement(sql)方法可以獲得PreparedStatment對象。數據庫系統會對sql語句進行預編譯處理（如果JDBC驅動支持的話），預處理語句將被預先編譯好，這條預編譯的sql查詢語句能在將來的查詢中重用，這樣一來，它比Statement對象生成的查詢速度更快。下面是一個例子：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

public class PreparedStmtExample { ????public static void main(String args[]) throws SQLException { ????????Connection conn = DriverManager.getConnection("mysql:\\localhost:1520", "root", "root"); ????????PreparedStatement preStatement = conn.prepareStatement("select distinct loan_type from loan where bank=?"); ????????preStatement.setString(1, "Citibank"); ????????ResultSet result = preStatement.executeQuery(); ????????while(result.next()){ ????????????System.out.println("Loan Type: " + result.getString("loan_type")); ????????}?????? ????} } Output: Loan Type: Personal Loan Loan Type: Auto Loan Loan Type: Home Loan Loan Type: Gold Loan

這個例子中，如果還是用?PreparedStatement?做同樣的查詢，哪怕參數值不一樣，比如：”Standard Chated” 或者”HSBC”作為參數值，數據庫系統還是會去調用之前編譯器編譯好的執行語句（系統庫系統初次會對查詢語句做最大的性能優化）。默認會返回”TYPE_FORWARD_ONLY”類型的結果集（?ResultSet?）,當然你也可以使用preparedstatment()的重載方法返回不同類型的結果集。

預處理語句的優勢

PreparedStatement提供了諸多好處，企業級應用開發中強烈推薦使用PreparedStatement來做SQL查詢，下面列出PreparedStatement的幾點優勢。

1. PreparedStatement可以寫動態參數化的查詢
   用PreparedStatement你可以寫帶參數的sql查詢語句，通過使用相同的sql語句和不同的參數值來做查詢比創建一個不同的查詢語句要好，下面是一個參數化查詢：

   ?

   1	SELECT interest_rate FROM loan WHERE loan_type=?

   現在你可以使用任何一種loan類型如：”personal loan”,”home loan” 或者”gold loan”來查詢，這個例子叫做參數化查詢，因為它可以用不同的參數調用它，這里的”?”就是參數的占位符。

2. PreparedStatement比?Statement?更快
   使用?PreparedStatement?最重要的一點好處是它擁有更佳的性能優勢，SQL語句會預編譯在數據庫系統中。執行計劃同樣會被緩存起來，它允許數據庫做參數化查詢。使用預處理語句比普通的查詢更快，因為它做的工作更少（數據庫對SQL語句的分析，編譯，優化已經在第一次查詢前完成了）。為了減少數據庫的負載，生產環境中德JDBC代碼你應該總是使用PreparedStatement?。值得注意的一點是：為了獲得性能上的優勢，應該使用參數化sql查詢而不是字符串追加的方式。下面兩個SELECT 查詢，第一個SELECT查詢就沒有任何性能優勢。
   SQL Query 1:字符串追加形式的PreparedStatement

   ?

   1 2	String loanType = getLoanType(); PreparedStatement prestmt = conn.prepareStatement("select banks from loan where loan_type=" + loanType);

   SQL Query 2：使用參數化查詢的PreparedStatement

   1 2	PreparedStatement prestmt = conn.prepareStatement("select banks from loan where loan_type=?"); prestmt.setString(1,loanType);

   第二個查詢就是正確使用PreparedStatement的查詢，它比SQL1能獲得更好的性能。

3. PreparedStatement可以防止SQL注入式攻擊
   如果你是做Java web應用開發的，那么必須熟悉那聲名狼藉的SQL注入式攻擊。去年Sony就遭受了SQL注入攻擊，被盜用了一些Sony play station（PS機）用戶的數據。在SQL注入攻擊里，惡意用戶通過SQL元數據綁定輸入，比如：某個網站的登錄驗證SQL查詢代碼為：

   ?

   1	strSQL = "SELECT * FROM users WHERE name = '" + userName + "' and pw = '"+ passWord +"';"

   惡意填入：

   1 2	userName = "1' OR '1'='1"; passWord = "1' OR '1'='1";

   那么最終SQL語句變成了：

   1	strSQL = "SELECT * FROM users WHERE name = '1' OR '1'='1' and pw = '1' OR '1'='1';"

   因為WHERE條件恒為真，這就相當于執行：

   1	strSQL = "SELECT * FROM users;"

   因此可以達到無賬號密碼亦可登錄網站。如果惡意用戶要是更壞一點，用戶填入：

   1	strSQL = "SELECT * FROM users;"

   SQL語句變成了：

   1	strSQL = "SELECT * FROM users WHERE name = 'any_value' and pw = ''; DROP TABLE users"

   這樣一來，雖然沒有登錄，但是數據表都被刪除了。

   然而使用PreparedStatement的參數化的查詢可以阻止大部分的SQL注入。在使用參數化查詢的情況下，數據庫系統（eg:MySQL）不會將參數的內容視為SQL指令的一部分來處理，而是在數據庫完成SQL指令的編譯后，才套用參數運行，因此就算參數中含有破壞性的指令，也不會被數據庫所運行。
   補充：避免SQL注入的第二種方式：
   在組合SQL字符串的時候，先對所傳入的參數做字符取代（將單引號字符取代為連續2個單引號字符，因為連續2個單引號字符在SQL數據庫中會視為字符中的一個單引號字符，譬如：

   1	strSQL = "SELECT * FROM users WHERE name = '" + userName + "';"

   傳入字符串：

   1	userName? = " 1' OR 1=1 "

   把userName做字符替換后變成：

   1	userName = " 1'' OR 1=1"

   最后生成的SQL查詢語句為：

   1	strSQL = "SELECT * FROM users WHERE name = '1'' OR 1=1'

   這樣數據庫就會去系統查找name為“1′ ‘ OR 1=1”的記錄，而避免了SQL注入。

4. 比起凌亂的字符串追加似的查詢，PreparedStatement查詢可讀性更好、更安全。

PreparedStatement的局限性

盡管PreparedStatement非常實用，但是它仍有一定的限制。
1. 為了防止SQL注入攻擊，PreparedStatement不允許一個占位符（？）有多個值，在執行有**IN**子句查詢的時候這個問題變得棘手起來。下面這個SQL查詢使用PreparedStatement就不會返回任何結果

1 2	SELECT * FROM loan WHERE loan_type IN (?) preparedSatement.setString(1, "'personal loan', 'home loan', 'gold loan'");

那如何解決這個問題呢？請你繼續關注本博客，下期告訴你答案。

不算總結的總結

關于PreparedStatement接口，需要重點記住的是：
1. PreparedStatement可以寫參數化查詢，比Statement能獲得更好的性能。
2. 對于PreparedStatement來說，數據庫可以使用已經編譯過及定義好的執行計劃，這種預處理語句查詢比普通的查詢運行速度更快。
3. PreparedStatement可以阻止常見的SQL注入式攻擊。
4. PreparedStatement可以寫動態查詢語句
5. PreparedStatement與java.sql.Connection對象是關聯的，一旦你關閉了connection，PreparedStatement也沒法使用了。
6. “?” 叫做占位符。
7. PreparedStatement查詢默認返回FORWARD_ONLY的ResultSet，你只能往一個方向移動結果集的游標。當然你還可以設定為其他類型的值如：”CONCUR_READ_ONLY”。
8. 不支持預編譯SQL查詢的JDBC驅動，在調用connection.prepareStatement(sql)的時候，它不會把SQL查詢語句發送給數據庫做預處理，而是等到執行查詢動作的時候（調用executeQuery()方法時）才把查詢語句發送個數據庫，這種情況和使用Statement是一樣的。
9. 占位符的索引位置從1開始而不是0，如果填入0會導致*java.sql.SQLException invalid column index*異常。所以如果PreparedStatement有兩個占位符，那么第一個參數的索引時1，第二個參數的索引是2.

以上就是為什么要使用PreparedStatement的全部理由，不過你仍然可以使用Statement對象用來做做測試。但是在生產環境下你一定要考慮使用?PreparedStatement?