PreparedStatement 好处:
- 预编译SQL,性能更高
- 防止SQL注入:==将敏感字符进行转义==
Java代码操作数据库流程如图所示:
- 将sql语句发送到MySQL服务器端
- MySQL服务端会对sql语句进行如下操作
- 检查SQL语句。检查SQL语句的语法是否正确。
- 编译SQL语句。将SQL语句编译成可执行的函数。
- 检查SQL和编译SQL花费的时间比执行SQL的时间还要长。如果我们只是重新设置参数,那么检查SQL语句和编译SQL语句将不需要重复执行。这样就提高了性能。
- 执行SQL语句
预编译过程:
开启预编译功能
在代码中编写url
时需要加上以下参数。而我们之前根本就没有
开启预编译功能,只是解决了SQL
注入漏洞。
useServerPrepStmts= true
配置MySQL执行日志(重启mysql服务后生效)
在mysql
配置文件(
my.ini
)中添加如下配置
log-output=FILEgeneral-log=1general_log_file="D:\mysql.log"slow-query-log=1slow_query_log_file="D:\mysql_slow.log"long_query_time=2
执行SQL语句,查看 D:\mysql.log 日志如下:
上图中第三行中的 Prepare
是对
SQL
语句进行预编译。第四行 和第五行是执行了两次SQL
语句,而第二次执行前并没有对
SQL 进行预编译。
PreparedStatement原理
- 在获取PreparedStatement对象时,将sql语句发送给mysql服务器进行检查,编译(这些步骤很耗时)
- 执行时就不用再进行这些步骤了,速度更快
- 如果sql模板一样,则只需要进行一次检查、编译