MySQL 预编译语句

简介

预编译语句也被称为参数化查询，是一种在数据库层面处理 SQL 语句方法。

它允许开发者在编译时将 SQL 语句中参数值替换为占位符，然后在运行时再将实际的参数值传递给数据库。

原理

预编译语句的工作原理分为两个阶段：编译阶段、执行阶段。

在编译阶段时，MySQL 将 SQL 语句进行语法分析和优化，生成对应执行计划。

在执行阶段是，MySQL 根据执行计划执行 SQL 语句，并将结果返回给客户端。

以此提升执行效率。

优势

1. 提高安全：预编译语句可以防止 SQL 注入攻击，这是一种常见安全漏洞，攻击者可以利用它修改或删除数据库中的数据。通过用预编译语句，开发者可以确保所有 SQL 语句在编译时都已经过验证，从而防止 SQL 的注入攻击。

2. 提升性能：预编译语句可以显著提高应用程序的性能。当相同 SQL 语句被多次执行时，预编译语句可以重用编译后的 SQL 语句，从而节省编译时间。此外，预编译语句还可减少 SQL 解析器的负担，进一步提高 MySQL 性能。

3. 简化代码：使用预编译语句可简化 SQL 语句的编写，特别是在处理动态 SQL 语句时。开发者可将参数值直接传递给预编译语句，而无需手动拼接 SQL 语句，从而降低出错的可能性。

使用

1
2
3
4

String sql = "SELECT * FROM users WHERE id = ?";
PreparedStatement ps = conn.prepareStatement(sql);
ps.setInt(1, id);
ResultSet rs = ps.executeQuery();

注意：在这个示例中，我们首先定义了一个 SQL 语句，然后通过 prepareStatement 方法创建一个预编译语句。紧接着我们通过 setInt 方法将参数值传递给预编译语句，最后执行查询并获取结果集。