PreparedStatement与SQL批处理

1、服务器如何执行SQL语句？

　　当服务器接收到一条SQL语句后，服务器先要校验这条SQL语句的语法格式是否正确，然后把SQL语句编译成可执行的函数，最后执行这个函数就是执行了SQL语句。其中校验语法，和编译所花的时间比执行SQL语句花的时间还要多很多。比如我们要执行多次insert语句，如果按照平常方法，会每插入一条记录就写一条SQL语句，所以MySQL服务器需要每次都去校验每一条SQL语句的语法格式，然后编译为函数，然后再执行，这就浪费了太多的时间。

2、PreparedStatement是什么？

　　PreparedStatement，预处理语句，通过使用PreparedStatement，服务器只对SQL语句进行一次语法校验和编译，大大提高了执行效率。那么它如何使用呢？

　　首先我们要准备一个SQL模板，SQL模板是一条用“？”代替参数的待补全SQL语句，例如：

<span style="font-size:18px;">select * from t_book where bid=?</span>
　　这就是一个查询的SQL模板，我们通过PreparedStatement pstmt = con.prepareStatement(sql)使SQL模板和PreparedStatement对象绑定，然后调用PreparedStatement的setXxx()方法，为参数赋值（有几个不明确的参数，就要赋几个值），这样就将模板补全成了一条完整的SQL语句， 调用PreparedStatement的executeUpdate()或executeQuery()方法完成执行sql语句，得到ResultSet对象。

　　需要注意的是，Statement的executeQuery()和executeUpdate是需要参数（SQL语句）的；而PreparedStatement对象的executeUpdate和executeQuery方法没有参数。这是因为创建PreparedStatement对象时已经与一条SQL模板绑定在一起了，所以在调用它的executeQuery()和executeUpdate()方法时就不再需要指定参数了。

　　PreparedStatement最大的好处就是在于重复使用同一模板，这样服务器只对SQL模板进行一次语法校验和函数编译，其中参数编译后都会成为函数的参数，执行SQL语句时只是把参数代入到函数中完成调用。这样就能赋予其不同的参数来重复的使用它，这就是提高效率的原因。

3、预编译的优点

　　● 防止SQL攻击：SQL攻击的本质是用户输入了SQL语句，其输入内容没有被作为参数。而预编译后，SQL语句的参数都会变成函数的参数，输入内容就不能再行使SQL语句的职能了。

　　● 提高代码的可读性：相对于以前加上单引号、双引号的直接输入，确实提高了可读性；

　　● 提高效率。

4、批处理

　　批处理就是将SQL语句一批一批的处理，而不是一条一条的处理，如果有10条SQL语句需要执行时，一次向服务器发送一条SQL语句，这么做效率很差，这时候就可以使用批处理，即一次向服务器发送多条SQL语句，然后由服务器一次性处理。批处理只针对更新（增、删、改）语句，不能用于查询语句。Statement和PreparedStatement都有批处理的方法。

　　批处理常用方法：

　　　　● void addBatch()：添加一条语句到“批”中；

　　　　● int[] executeBatch()：执行“批”中所有语句。返回值表示每条语句所影响的行数据；

　　　　● void clearBatch()：清空“批”中的所有语句。

　　注意：Statement中的批处理方法中有参数，PreparedStatement批处理方法没有参数。

5、简单的批处理实例

　　（1）Statement

　　　　可以多次调用Statement类的addBatch(String sql)方法，把需要执行的所有SQL语句添加到一个“批”中，然后调用Statement类的executeBatch()方法来执行当前“批”中的语句。

<span style="font-size:18px;"> for(int i = 0; i < 10; i++) {
String number = "S_10" + i;
String name = "stu" + i;
int age = 20 + i;
String gender = i % 2 == 0 ? "male" : "female";
String sql = "insert into stu values('" + number + "', '" + name + "', " + age + ", '" + gender + "')";
stmt.addBatch(sql);
}
stmt.executeBatch();</span>

　　（2）PreparedStatement

　　　　PreparedStatement的批处理有所不同，因为每个PreparedStatement对象都绑定一条SQL模板。所以向PreparedStatement中添加的不是SQL语句，而是给“?”赋值。

<span style="font-size:18px;">package jdbc;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.SQLException;
import org.junit.Test;

/**
* 演示批处理
*/
public class Demo1 {
@Test
public void fun1() {
Connection con = null;
PreparedStatement pstmt = null;
try {
con = JdbcUtils.getConnection(); //得到连接对象
String sql = "insert into tbl_student values(?,?,?,?)";//设置SQL模板
pstmt = con.prepareStatement(sql);//绑定模板

//添加批（100次）
for(int i = 1; i <= 100; i++) {
//每次都要设置参数，调用添加批方法
pstmt.setInt(1, i);
pstmt.setString(2, "stu_name_" + i);
pstmt.setInt(3, i % 20 + 20);
pstmt.setString(4, i%2==0 ? "male" : "female");

pstmt.addBatch();//把上面设置的参数，添加到批中！
}
//执行批
pstmt.executeBatch();//执行批

} catch(Exception e) {
throw new RuntimeException(e);
} finally {
try { //关闭对象
if(pstmt != null) pstmt.close();
if(con != null) con.close();
} catch(SQLException e) {}
}
}
}</span>
　
　　小结：因为效率原因，建议使用PreparedStatement，而不是使用Statement。而且PreparedStatement是Statement的子接口，可以使用PreparedStatement来替换Statement。mysql服务器是针对每个PreparedStatement对象只编译一次，所以提高效率是必须使用同一个PreparedStatement对象。