PrepareStatement 是如何高效替换问号的?

已于 2023-04-08 12:14:31 修改
阅读量861 收藏 1
点赞数
文章标签: java 数据结构 jvm 面试 mybatis
于 2022-07-18 10:16:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiuQianWan/article/details/125942624
版权

 关注公众号【1024个为什么】,及时接收最新推送文章!

本篇文章基于 MySQL Connector/J 5.1.40, clientPrepareStatement 模式。

写前 2 篇文章看源码时,发现 PrepareStatement  替换问号的方案比想象的要复杂、高效,总结一下加深印象,以后有类似的场景也可以借用此方案。

从一个带问号的 SQL 语句到一个正常的带真实参数的 SQL 语句,可以分为下图中的三步。

e243341735aa089cfe7287fcb2ec4435.png

本次就以下面的 SQL 语句为例,看一下替换问号的过程。

SELECT * FROM t1 WHERE id=? AND status=? ORDER BY id DESC LIMIT 10;

| 第一步,把动态 SQL(带问号的) 拆成静态 SQL 段

这一步的触发时机是获取 PreparedStatement 对象时

PreparedStatement ps = conn.prepareStatement(sql);

拆后的信息会被封装在 PerseInfo 中,PerseInfo 是 PreparedStatement 的内部类

db087117107798f7e5e2cfc29ee8e7ee.png

而真正拆的过程,是在 PerseInfo 的构造方法中,拆分的结果会存到 2 个数组中,endpointList、staticSql,就是图中框 ① 里的。

通过源码看一下拆分过程

for (i = this.statementStartPos; i < this.statementLength; ++i) {
         char c = sql.charAt(i);
         ...
         if ((c == '?') && !inQuotes && !inQuotedId) {
         // 添加静态 SQL 段的起止下标
              endpointList.add(new int[] { lastParmEnd, i });
              lastParmEnd = i + 1;
          }
          ...
          // 添加最后一个问号后的静态 SQL 段的起止下标
          endpointList.add(new int[] { lastParmEnd, this.statementLength });
          this.staticSql = new byte[endpointList.size()][];


          for (i = 0; i < this.staticSql.length; i++) {
              int[] ep = endpointList.get(i);
              int end = ep[1];
              int begin = ep[0];
              int len = end - begin;
              ...
              this.staticSql[i] = StringUtils.getBytes(sql, encoding, conn.getServerCharset(), begin, len, conn.parserKnowsUnicode(), conn,
                                    conn.getExceptionInterceptor());

可以看到, SQL 语句是按字符的粒度遍历,找到 '?' ,就把 lastParmEnd   (初始值=0)和当前下标添加到 endpointList 中,lastParmEnd + 1 ,继续遍历,直到结束。遍历结束后,把最后一个问号后面的内容也当做一个静态 SQL 段加到 endpointList 中。

简单来说,带有 n 个问号的 SQL 语句, 会被拆分成 n + 1 个静态 SQL 段(不含问号的内容)。

然后遍历 endpointList,根据里面记录的下标,从原始 SQL 中截取出对应的静态 SQL 段。

这 2 个数组的数据拿到后,就能知道有多少个参数了,接下来就会初始化存放参数的数组,为下一步设置参数铺好路。

com.mysql.jdbc.PreparedStatement#initializeFromParseInfo

this.parameterValues = new byte[this.parameterCount][]
this.parameterTypes = new int[this.parameterCount];

下面主要会用到这 2 个。

| 第二步,设置参数

触发时机是

ps.setInt(1,666);
  ps.setInt(2,5);

这里会把所有参数内容先转换成字符串再转换成 byte 后,放到第一步初始化好的 parameterValues 中

protected final void setInternal(int paramIndex, byte[] val) throws SQLException {
    synchronized (checkClosed().getConnectionMutex()) {


        int parameterIndexOffset = getParameterIndexOffset();


        checkBounds(paramIndex, parameterIndexOffset);


        this.isStream[paramIndex - 1 + parameterIndexOffset] = false;
        this.isNull[paramIndex - 1 + parameterIndexOffset] = false;
        this.parameterStreams[paramIndex - 1 + parameterIndexOffset] = null;
        this.parameterValues[paramIndex - 1 + parameterIndexOffset] = val;
    }
}

同时也会设置好每个参数对应的真实的类型。

this.parameterTypes[parameterIndex - 1 + getParameterIndexOffset()] = Types.INTEGER;

这里注意一下,源码中的下标都做了减 1 的处理,这也是为什么我们设置参数时,传入的下标从 1 开始,而内部都是数组,下标从 0 开始。

| 第三步,执行时,才组装真正的 SQL

触发时机是

ResultSet resultSet = ps.executeQuery();

内部会经过这个方法 com.mysql.jdbc.PreparedStatement#fillSendPacket(),它里面会把参数和第一步里的静态 SQL 段组装到一起。

组装过程如下

for (int i = 0; i < batchedParameterStrings.length; i++) {
    checkAllParametersSet(batchedParameterStrings[i], batchedParameterStreams[i], i);


    sendPacket.writeBytesNoNull(this.staticSqlStrings[i]);


    if (batchedIsStream[i]) {
        streamToBytes(sendPacket, batchedParameterStreams[i], true, batchedStreamLengths[i], useStreamLengths);
    } else {
        sendPacket.writeBytesNoNull(batchedParameterStrings[i]);
    }
}


sendPacket.writeBytesNoNull(this.staticSqlStrings[batchedParameterStrings.length]);

会遍历参数信息,拼装好参数后,遍历结束后再拼上最后一个静态 SQL 段。

这里说是拼装,其实操作的都是 byte 数组,直接往 byte 数组中轮流交替放置静态 SQL 段、参数内容。

到这里就得到了带有真实参数内容的一个完整的 SQL,可以直接发到服务端执行了。

| 总结一下

整个过程,就遍历了一次原始 SQL,时间复杂度是 O(SQL.length)。而且这个遍历拆分过程,还可以缓存,相同的 SQL 就不用重复遍历拆分了。

后面 2 次遍历,时间复杂度都是 O(参数个数.length),用最少的遍历解决问题。

原创不易,如有收获,一键三连,感谢支持!

相关阅读:

《写个任务,翻车了 -- 记一次内存溢出排查》

《深究 PrepareStatement》

1024个为什么
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mybatis替换问号完整Sql插件
11-22
<plugin interceptor="com.zheling.interceptor.FullSQLInterceptor"/>
利用JDBC的PrepareStatement打印真实SQL的方法详解
08-29
PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程,下面这篇文章主要给大家介绍了关于利用JDBC的PrepareStatement打印真实SQL的方法,需要的朋友可以参考借鉴,下面来一起看看吧。
JAVA项目开发中常遇到的字符串替换问题
═☆冰之旅☆═的专栏
01-22 3850
在开发中常常会遇到字符串当中的某个字符替换,特别是在拼接SQL时极为常见,下边为常见字符串替换(持续总结):    1、替换字符串中的问号“?”使用“[?]”替换即可            例如:String sql = "delete from  user_log where  id in (?)";            使用:sql.replace("[?]", "")   2、替换
mysql 问号转义,如何在JDBC预准备语句中转义文字问号('?')
weixin_29981095的博客
02-05 471
I'd like to create a JDBC PreparedStatement like:SELECT URL,LOCATE ( '?', URL ) pos FROM Links WHERE pageId=? ORDER BY pos ASCWhere the 1st ? is a literal and the 2nd ? is a parameter. I could use CH...
Java替换mybatis框架SQL日志中的预编译问号“?“
文盲青年的博客
03-07 1482
当我们去排查问题的时候,经常需要查看SQL来判断执行逻辑,但是打开日志后,往往会发现是这样的: 2022-03-07 11:45:25,959 [http-nio2-8080-exec-10] DEBUG [16466247258377172025468] c.xylink.crm.product.mapper.ProductMapper.pageList:137 - ==> Preparing: SELECT p.id, p.product_name, p.product_code, p.shel
使用PreparedStatement替换Statement,实现对数据表的增删改查操作
weixin_45925146的博客
10-08 349
使用PreparedStatement替换Statement,实现对数据表的增删改查操作
Mybatis特殊字符转义以及sql中带有问号(?)的处理方式
xiaowangbadan0_0的博客
04-12 4455
springboot+mybatis处理一般的特殊字符有如下方式 1.<![CDATA[ ]]> XML文件会在解析XML时将5种特殊字符进行转义,分别是&, <, >, “, ‘, 我们不希望语法被转义,就需要进行特别处理。 有两种解决方法:其一,使用**<![CDATA[ ]]>**标签来包含字符。其二,使用XML转义序列来表示这些字符。 <select id="selectAll" resultMap="user"> .
prepareStatementStatement的区别
09-23
prepareStatementStatementJava 中两个常用的数据库操作接口,它们都可以用来执行 SQL 语句,但是它们之间有着明显的区别。 首先,从创建时的区别开始,Statement 需要通过 Connection 对象的 createStatement...
06丨数据库原理:为什么PrepareStatement性能更好更安全?.pdf
07-05
数据库原理:为什么PrepareStatement性能更好更安全
JDBC PrepareStatement 使用(附各种场景 demo)
最新发布
01-14
PrepareStatement是JDBC提供的一种预编译的SQL语句,它可以提高数据库操作的效率和安全性。本资源主要涵盖了使用JDBC PrepareStatement进行MySQL数据库操作的各种场景,包括基本的查询、更新以及批量处理。 首先,...
prepare cashflow_cashflow_statement_
10-04
现金流量表(Cashflow Statement)是企业财务报告的重要组成部分,用于揭示企业在一定会计期间内现金的流入和流出情况,展示了公司的经营、投资和筹资活动对现金的影响。它可以帮助投资者、管理层和其他利益相关者...
彻底解决mybatis 插入数据中文后显示问号(?)的问题
热门推荐
非学无以广才,非志无以成学
06-27 1万+
在spring+mybatis开发中 遇到插入中文字符数据变成问号的问题1、一般第一步可能会去看spring项目中的web.xml是否设置了字符过滤器但是一看代码已经拷贝过来了啊  ┭┮﹏┭┮2、那会不会是tomcat中没有设置字符的问题?于是打开server.xml空欢喜 还是设置过了啊 ┭┮﹏┭┮3、对了还有个地方可能出问题 那就是数据库连接文件中 jdbc_url连接地址后面是否加了utf8...
SQL 引号中的问号在PrepareStatement 中不被看作是占位符
weixin_33688840的博客
08-28 543
  SQL 引号中的问号在PrepareStatement 中不被看作是占位符。   如:SELECT P.NAME, S.YEAR, S.QUANTITY FROM SALES S LEFT JOIN PRODUCT P ON S.PRODUCT_ID = P.ID WHERE P.NAME LIKE '%?%'   会报java.sql.SQLException: 无效的列索引。   可...
mysql的条件替换_MySQLwhere条件替换疑问?
weixin_36342428的博客
02-28 256
字段:ariclecategory/index?type=article值 :ariclecategory/index需求:比较?之前的自读内容和值是否相等想每次查询的时候,将包括问好在内的内容给去除掉在比较,请问怎么写where?目前:select * from where ziduan = 'ariclecategory/index';回复内容:字段:ariclecategory/index...
Java解析SQL替换SQL中的##
老达摩的博客
09-16 872
sql语句中的##替换为数组[1,2,3]中真实值,变为一条可执行SQL
PrepareStatement中in中带问号的用法(轉)
weixin_34376562的博客
06-15 1265
2019独角兽企业重金招聘Python工程师标准>>> ...
【大数据系列之JDBC】(五):使用PrepareStatement防止SQL注入
CSDN 精品推荐
12-22 261
PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXxx() 方法来设置这些参数. setXxx() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值。PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句。
掌握数据库操作的关键技巧:深入解析prepareStatement方法
2301_77478553的博客
07-12 4105
prepareStatement是表示预编译的 SQL 语句的对象。prepareStatement方法是Java中用于准备执行SQL语句的方法。它可以避免SQL注入攻击,提高执行效率,且支持占位符,可以方便地设置参数。2.为什么要使用prepareStatementStatement与preparedStatement的区别:1. preparedStatement可以写动态参数化的查询。
PreparedStatement
Han_Lin-的博客
10-14 837
/** * 定义一个数据库连接对象,这里的引用必须是 java.sql 包中的。 * 因为只有这个包中才代表了 Java 提供的 JDBC 接口,这只是一套规范,具体实现则由数据库驱动来提供。 */ Connection conn = null; /** * 如果使用Statement,那么就必须在SQL语句中,实际地去嵌入值,比如之前的insert语句中values必须使用硬编码 ...
7、Statement和PrepareStatement的区别是什么?
05-21
Statement和PrepareStatement都是用于执行SQL语句的接口,但它们之间有以下几点区别: 1. SQL注入漏洞:使用Statement时,需要将SQL语句字符串硬编码到Java代码中,这样会存在SQL注入攻击的风险。而使用PrepareStatement时,可以使用参数化查询,将参数值动态地绑定到SQL语句中,避免了SQL注入攻击。 2. 执行效率:使用PrepareStatement可以提高SQL语句的执行效率。因为PrepareStatement会将SQL语句编译成二进制代码,而Statement每次执行SQL语句时都需要重新编译。 3. 可读性:使用PrepareStatement可以提高SQL语句的可读性。因为使用参数化查询时,可以将参数值与SQL语句分离,使得SQL语句更加清晰易懂。 综上所述,建议在开发中尽量使用PrepareStatement来执行SQL语句。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值