MySQL - 动态SQL与预处理语句

最新推荐文章于 2025-06-11 16:25:11 发布
最新推荐文章于 2025-06-11 16:25:11 发布
阅读量6.1k 收藏 5
点赞数
CC 4.0 BY-SA版权
分类专栏: MySQL 文章标签: mysql sql 动态规划
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/J080624/article/details/75617126
本文介绍如何在存储过程或函数中使用动态SQL及预处理语句来提高SQL执行效率并防止SQL注入。详细解释了如何通过变量动态生成SQL语句,并演示了预处理语句的具体用法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在存储过程或者函数中,有时SQL语句是通过变量传值生成的。这时候就需要使用动态SQL,如果直接在SQL语句中植入变量,将提示无该字段或表。

如下所示:

v_db 和v_table均是变量传值动态生成。

create table v_table like  v_db.v_table;

直接执行将提示错误。

这里写图片描述

【动态SQL】

动态SQL示例如下(在存储过程中使用):

CREATE  PROCEDURE `proc_copy_table`(IN v_table VARCHAR(20),IN v_db VARCHAR(20),OUT o_result int(4))
BEGIN
    DECLARE exit HANDLER FOR SQLEXCEPTION  
    begin
        rollback; -- 有异常,进行回滚
        set o_result = -500;
    end;

    START TRANSACTION;
        SET @sql1 = CONCAT('drop table if EXISTS ',v_table,';');
        -- drop table if EXISTS v_table;
      prepare stmt from @sql1;  -- 预处理需要执行的动态SQL,
        EXECUTE stmt;
        deallocate prepare stmt;     -- 释放掉预处理段


        set @sql2 = CONCAT('create table ',v_table,' like ',v_db,'.',v_table,';');
        -- create table v_table like  v_db.v_table;
        prepare stmt from @sql2;  -- 预处理需要执行的动态SQL,
        EXECUTE stmt;
        deallocate prepare stmt;     -- 释放掉预处理段

        set @sql3 = CONCAT('insert into  ',v_table,' select * from  ',v_db,'.',v_table,';');
        -- insert into v_table select * from v_db.v_table;
        prepare stmt from @sql3;  -- 预处理需要执行的动态SQL,
        EXECUTE stmt;
        deallocate prepare stmt;     -- 释放掉预处理段
  COMMIT;
    set o_result :=0;
end

这里动态SQL的生成说明如下:

使用concat拼接,将变量传值进去:

SET @sql1 = CONCAT('drop table if EXISTS ',v_table,';');

-- 效果如下:
 drop table if EXISTS [v_table实际变量值];

【预处理语句】

MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT。

即,预处理语句。

其用法十分简单:

//获取预处理语句
PREPARE stmt_name FROM preparable_stmt;

//执行预处理语句(可传入用户变量)
EXECUTE stmt_name
    [USING @var_name [, @var_name] ...];

//释放掉预处理资源
{DEALLOCATE | DROP} PREPARE stmt_name;

使用PAREPARE STATEMENT可以减少每次执行SQL的语法分析,

比如用于执行带有WHERE条件的SELECT和DELETE,或者UPDATE,或者INSERT,只需要每次修改变量值即可。

同样可以防止SQL注入,参数值可以包含转义符和定界符。

PREPARE … FROM可以直接接用户变量:

    SET @sql1 = CONCAT('drop table if EXISTS ',v_table,';');

      prepare stmt from @sql1;  -- 预处理需要执行的动态SQL,

每一次执行完EXECUTE时,养成好习惯,须执行DEALLOCATE PREPARE …语句,这样可以释放执行中使用的所有数据库资源(如游标)。

不仅如此,如果一个session的预处理语句过多,可能会达到max_prepared_stmt_count的上限值。

预处理语句只能在创建者的会话中可以使用,其他会话是无法使用的。而且在任意方式(正常或非正常)退出会话时,之前定义好的预处理语句将不复存在。

如果在存储过程中使用,如果不在过程中DEALLOCATE掉,在存储过程结束之后,该预处理语句仍然会有效。

SQL预处理语句
h1008685的博客
05-27 660
定义了一个SQLINSERT语句,目的是将数据插入到login.login_tables表中使用prepare()方法准备SQL语句,使其准备好接受参数。bind_param("si", $name, $passwd);方法绑定了两个参数调用execute()方法执行预处理语句。通过var_dump($end);打印execute()方法的返回值,以验证插入操作是否成功。最后,函数尝试关闭预处理语句数据库连接
预处理SQL语句
weixin_46834417的博客
08-19 3218
所谓预处理指的就是将SQL语句中的关键字(如 SELECT…FROM…)数据(如字段名,数据表名)分离,使得针对不同数据的相同SQL语句的执行开销更小,同时又可防止SQL注入的攻击 **传统方式的SQL语句,**在执行时每条SQL都需要经过分析丶编译优化的步骤。 预处理方式则是利用客户端服务器的二进制协议,预先编译一次客户端发送的SQL语句模板,然后再根据客户端发送给服务器相应数量的变量进行执行操作,并旦针对一条SQL语句模板可以执行多次,还无需考虑数据中含有未转义的SQI引号分隔符字符. 预处理
MySQL:Prepared Statement 预处理语句
最新发布
fie8889的博客
06-11 436
预处理语句是一种预编译的 SQL 语句,包含 SQL 语句模板绑定参数。预编译 SQL 语句:服务器对 SQL 语句进行语法检查,并生成执行计划。执行预处理语句:将参数值绑定到预编译的 SQL 语句中并执行。
Mysql 动态SQL
weixin_33753845的博客
01-22 1120
  我们知道,在MySQL的储存过程中,一般的输入参数为各种数据类型,如数值型,字符型等。那么,能不能让输入参数等于表名呢?答案是肯定的,那就是使用MySQL提供的PREPARE语法。   关于PREPARE的具体使用方法,可以参考网址:https://dev.mysql.com/doc/refman/5.6/en/sql-syntax-prepared-statements.html .本文将会...
MYSQL动态SQL
xiaoya5271的博客
05-03 956
if语法    <select id="findExistBookset" resultType="int"        parameterType="AccountsAdjustAccountSet002Dto">        SELECT COUNT(1) FROM BOK_BOOKSET        WHERE STATUS='E'        AND BOOKSET_N...
MySQL动态SQL
Ms_future的博客
06-06 6256
动态SQL就是指根据不同的条件生成不同的SQL语句使用动态 SQL 最常见情景是根据条件包含 where 子句的一部分 动态SQL之where where标签where 元素只会在子元素返回任何内容的情况下才插入 “WHERE” 子句。而且,若子句的开头为 “AND” 或 “OR”,where 元素也会将它们去除。问题:where后没有条件直接接了[and...]显然是不对的 这个查询也会失败。这个问题不能简单地用条件元素来解决。这个问题是如此的难以解决,以至于解决过的人不会再想碰到这种问题。My
MySql动态SQL
05-15 133
13.7.用于预处理语句SQL语法 MySQL 5.1对服务器一方的预制语句提供支持。如果您使用合适的客户端编程界面,则这种支持可以发挥在MySQL 4.1中实施的高效客户端/服务器二进制协议的优势。候选界面包括MySQL C API客户端库(用于C程序)、MySQL Connector/J(用于Java程序)MySQL Connector/NET。例如,C API可以提供一套...
mysql: 动态sql
fengzyf的博客
03-21 817
mysql: 动态sql样例 插入百万级数据, 要在sql 链接上加上参数 spring.datasource.url=jdbc:mysql://localhost:3306/db_zhilian_coupon?zeroDateTimeBehavior=convertToNull&useUnicode=true&characterEncoding=utf-8&allow...
MySQL动态sql
weixin_73186358的博客
06-16 2061
mybatis使用xml映射文件创建动态sql语句
MySQL动态SQL
java界的小学生
07-05 2846
MySQL动态SQL
MySQL快查-预处理SQL语句
cracal的博客
10-21 847
MySQL快查 因为在日常工作学习中经常忘记mysql的一些语句、关键字、操作等内容,所以最近抽取时间写了以下关于mysql相关内容。相当于一本字典吧 重置mysql密码 数据类型 运算符 常用函数 数据完整性 数据库的基本操作 对表本身的操作 对表中数据的操作 子查询 多表连接 索引 视图 本文 预处理SQL语句MySQL快查创建预处理语句执行预处理语句释放预处理语句 MySQL数据库中的prepare、execute、deallocate统称为预处理语句。 创建预处理语句 prepare stmt
17. Mysql 动态SQL
小发菜
12-31 1066
介绍Mysql 常见的sql动态拼接l,实现灵活操作数据库。
mysql动态执行sql
zfszhangyuan的博客
01-24 937
这边重点代码是:set f_sql=CONCAT('rename table cw_computer_resulttest to cw_computer_result',f_last,';'); set @ms=f_sql; PREPARE stmt1 FROM @ms; EXECUTE stmt1; DEALLOCATE PREPARE stmt1 ; 其中@ms是系统变量,不用declar
MySQL-04 动态SQL
Java名企面试吧
07-09 454
由于本部分内容在SQL映射文件中均按序号注释清楚,故在此仅给出SQL映射文件的具体内容对应接口类的声明方法。具体请以SQL映射文件为提纲进行查阅。 其中,MyBatis中动态SQL的具体测试代码下载地址:https://download.youkuaiyun.com/download/bingbeichen/10529837。 SQL映射文件的具体配置如下: <mapper namespac...
mysql动态sql语句
因帅被判7年
08-28 3401
动态sql语句 格式1   直接执行sql声明(sqlstatement)   例程:   string            Mysql   Mysql = "CREATE TABLE Employee "&    +"(emp_id integer not null,"&    +"dept_id integer not null, "&    +"emp_fname char(10) n
mysql动态SQL用法
weixin_52223050的博客
08-14 2769
mysql动态SQL的用法
MySQL入门之动态SQL工具实现
lzjsqn的专栏
01-13 697
集体看代码#include <stdio.h> #include <stdlib.h> #include <string.h> #include <dlfcn.h> #include <mysql/mysql.h>#include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <string.h> #include <errno
mysql系列】动态sql语句
优快云站内信: https://i.youkuaiyun.com/#/msg/chat/qyj19920704
11-18 5768
动态 SQL 是指在运行时动态生成 SQL 语句,它可以根据不同的条件参数生成不同的 SQL 语句,从而实现灵活性可重用性。在许多编程语言中,动态 SQL 可以使用字符串拼接或参数化查询的方式来实现。使用字符串拼接的方法,可以通过在字符串中插入变量或条件语句,来动态构建 SQL 语句。搜索过滤:动态 SQL 可以根据用户的搜索条件过滤条件生成不同的 SQL 查询语句,从而实现灵活的搜索过滤功能。
MySQL数据导入动态SQLPROCEDURE 结合
Min的博客
02-09 1287
项目的数据库重构,不可避免的要进行数据的导入导出,于是利用查询生成临时表就起了大的作用 1.要将公司表相关联的表存成ID,之前表里面存的是公司名称,大量的汉字不利于检索。 首先做好原数据库的备份,备份很重要,备份很重要 1. 生成临时表 2.在临时表里面做更新 3.截断原来的表修改字段名 4.将修改后的数据导入新表 create table test SELECT * from ...
sql预处理语句
03-19
### SQL预处理语句的用法实现 #### 预处理语句概述 SQL预处理语句(Prepared Statements)是一种被广泛应用于成熟数据库中的技术,允许开发者创建一种类似于模板的SQL语句结构。这种语句可以通过绑定不同的参数来动态调整其行为,从而提高性能并增强安全性[^3]。 #### 使用场景优势 预处理语句的主要优点在于能够减少重复解析SQL语句的时间开销以及防止SQL注入攻击。通过预先定义好SQL语句的形式,在后续操作中仅需替换其中的占位符即可完成多次查询或更新操作。 #### 基本构成部分 在MySQL环境下,预处理语句的操作流程主要包括以下几个阶段: - **PREPARE**: 准备待执行的SQL语句- **EXECUTE**: 执行已准备好的SQL语句,并传递实际参数值。 - **DEALLOCATE PREPARE**: 清除不再使用的预处理语句资源[^2]。 以下是具体的语法说明及示例: #### 语法描述 1. `PREPARE`命令用于命名一条即将被执行的SQL语句,并指定该语句的具体形式; 2. `EXECUTE`则负责调用之前由`PREPARE`所建立起来的那个名字对应的SQL逻辑体,同时提供必要的输入数据作为参数传入; 3. 当不需要再继续利用某个特定名称关联着的一系列动作时,则可通过发出`DEALLOCATE PREPARE`指令释放相关联内存空间其他计算成本。 #### 实现案例分析 下面给出一段关于如何运用上述机制的一个简单例子——向表student里插入新记录的过程演示如下所示: ```sql -- Step 1: Prepare the statement with placeholders (? represents parameters) PREPARE stmt FROM 'INSERT INTO student (name, age) VALUES (?, ?)' ; -- Step 2: Execute prepared statement multiple times by providing different values each time. SET @sName = 'John Doe'; SET @nAge = 20; EXECUTE stmt USING @sName ,@nAge; SET @sName = 'Jane Smith'; SET @nAge = 22; EXECUTE stmt USING @sName ,@nAge; -- Step 3: Once done executing all required instances of this query pattern, deallocate it to free resources. DEALLOCATE PREPARE stmt ; ``` 此脚本展示了怎样构建一个可重用的insert模式并通过改变所提供的具体姓名年龄组合达到批量录入目的的同时还注意到了最后一步清理工作的重要性以确保不会浪费系统级别的宝贵资产如CPU周期或者RAM容量等等[^1]^.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

流烟默

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值