📣

TiDB Cloud Serverless 现已更名为
Starter
!此页面由 AI 自动翻译,英文原文请见
此处。

Prepared Statements

prepared statement 模板化了多个 SQL 语句,其中只有参数不同。它将 SQL 语句与参数分离开来。你可以用它来改善 SQL 语句的以下方面:

  • 安全性:由于参数和语句分离,避免了 SQL 注入 攻击的风险。
  • 性能:因为在 TiDB 服务器端提前解析了语句,后续执行时只需传递参数,节省了解析整个 SQL 语句、拼接 SQL 字符串和网络传输的开销。

在大多数应用中,SQL 语句可以枚举。你可以用有限数量的 SQL 语句完成整个应用的数据查询。因此,使用预处理语句是一种最佳实践。

SQL 语法

本节描述创建、执行和删除预处理语句的 SQL 语法。

创建预处理语句

PREPARE {prepared_statement_name} FROM '{prepared_statement_sql}';
参数名称描述
{prepared_statement_name}预处理语句的名称
{prepared_statement_sql}带有问号占位符的预处理 SQL 语句

更多信息请参见 PREPARE 语句

使用预处理语句

预处理语句只能使用 用户变量 作为参数,因此在调用 EXECUTE 语句 之前,需使用 SET 语句 设置变量。

SET @{parameter_name} = {parameter_value}; EXECUTE {prepared_statement_name} USING @{parameter_name};
参数名称描述
{parameter_name}用户变量名
{parameter_value}用户变量值
{prepared_statement_name}预处理语句的名称,必须与 创建预处理语句 中定义的名称一致

更多信息请参见 EXECUTE 语句

删除预处理语句

DEALLOCATE PREPARE {prepared_statement_name};
参数名称描述
{prepared_statement_name}预处理语句的名称,必须与 创建预处理语句 中定义的名称一致

更多信息请参见 DEALLOCATE 语句

示例

本节介绍两个预处理语句的示例:SELECT 数据和 INSERT 数据。

SELECT 示例

例如,在 bookshop 应用 中,需要查询 id = 1 的书。

    PREPARE `books_query` FROM 'SELECT * FROM `books` WHERE `id` = ?';

    运行结果:

    Query OK, 0 rows affected (0.01 sec)
    SET @id = 1;

    运行结果:

    Query OK, 0 rows affected (0.04 sec)
    EXECUTE `books_query` USING @id;

    运行结果:

    +---------+---------------------------------+--------+---------------------+-------+--------+ | id | title | type | published_at | stock | price | +---------+---------------------------------+--------+---------------------+-------+--------+ | 1 | The Adventures of Pierce Wehner | Comics | 1904-06-06 20:46:25 | 586 | 411.66 | +---------+---------------------------------+--------+---------------------+-------+--------+ 1 row in set (0.05 sec)
    // ds 是 com.mysql.cj.jdbc.MysqlDataSource 的实体 try (Connection connection = ds.getConnection()) { PreparedStatement preparedStatement = connection.prepareStatement("SELECT * FROM `books` WHERE `id` = ?"); preparedStatement.setLong(1, 1); ResultSet res = preparedStatement.executeQuery(); if(!res.next()) { System.out.println("表中没有 id 为 1 的书"); } else { // 获取书的信息,id 为 1 System.out.println(res.getLong("id")); System.out.println(res.getString("title")); System.out.println(res.getString("type")); } } catch (SQLException e) { e.printStackTrace(); }

    INSERT 示例

    books 为例,需要插入一本书,内容为:title = TiDB Developer Guidetype = Science & Technologystock = 100price = 0.0published_at = NOW()(插入的当前时间)。注意,在 books 表的 主键 中不需要指定 AUTO_RANDOM 属性。关于插入数据的更多信息,请参见 Insert Data

      PREPARE `books_insert` FROM 'INSERT INTO `books` (`title`, `type`, `stock`, `price`, `published_at`) VALUES (?, ?, ?, ?, ?);';

      运行结果:

      Query OK, 0 rows affected (0.03 sec)
      SET @title = 'TiDB Developer Guide'; SET @type = 'Science & Technology'; SET @stock = 100; SET @price = 0.0; SET @published_at = NOW();

      运行结果:

      Query OK, 0 rows affected (0.04 sec)
      EXECUTE `books_insert` USING @title, @type, @stock, @price, @published_at;

      运行结果:

      Query OK, 1 row affected (0.03 sec)
      try (Connection connection = ds.getConnection()) { String sql = "INSERT INTO `books` (`title`, `type`, `stock`, `price`, `published_at`) VALUES (?, ?, ?, ?, ?);"; PreparedStatement preparedStatement = connection.prepareStatement(sql); preparedStatement.setString(1, "TiDB Developer Guide"); preparedStatement.setString(2, "Science & Technology"); preparedStatement.setInt(3, 100); preparedStatement.setBigDecimal(4, new BigDecimal("0.0")); preparedStatement.setTimestamp(5, new Timestamp(Calendar.getInstance().getTimeInMillis())); preparedStatement.executeUpdate(); } catch (SQLException e) { e.printStackTrace(); }

      可以看到,JDBC 帮助你控制预处理语句的生命周期,你无需在应用中手动创建、使用或删除预处理语句。然而,需要注意的是,由于 TiDB 兼容 MySQL,客户端使用 MySQL JDBC Driver 时,默认配置并未启用 server-side 预处理语句选项,而是使用客户端预处理语句。

      以下配置可以帮助你在 JDBC 下使用 TiDB 服务器端预处理语句:

      参数含义推荐场景推荐配置
      useServerPrepStmts是否使用服务器端启用预处理语句当你需要多次使用预处理语句时true
      cachePrepStmts客户端是否缓存预处理语句useServerPrepStmts=truetrue
      prepStmtCacheSqlLimit预处理语句最大长度(默认 256 字符)当预处理语句长度超过 256 字符时根据实际预处理语句长度配置
      prepStmtCacheSize预处理语句最大数量(默认 25 个)当预处理语句数量超过 25 个时根据实际预处理语句数量配置

      以下是 JDBC 连接字符串配置的典型场景示例。主机:127.0.0.1,端口:4000,用户名:root,密码:null,默认数据库:test

      jdbc:mysql://127.0.0.1:4000/test?user=root&useConfigs=maxPerformance&useServerPrepStmts=true&prepStmtCacheSqlLimit=2048&prepStmtCacheSize=256&rewriteBatchedStatements=true&allowMultiQueries=true

      如果在插入数据时需要更改其他 JDBC 参数,也可以参考 insert rows

      完整的 Java 示例请参见:

      需要帮助?

      DiscordSlack 上向社区提问,或 提交支持工单

      文档内容是否有帮助?