sql占位符的使用

最新推荐文章于 2025-09-19 08:38:40 发布
转载 最新推荐文章于 2025-09-19 08:38:40 发布 · 1.5w 阅读 · 9

部署运行你感兴趣的模型镜像

1.增加SQL代码可读性
2.占位符可以预先编译,提高执行效率
3.防止SQL注入
4用占位符的目的是绑定变量,这样可以减少数据SQL的硬解析,所以执行效率会提高不少


 绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能


绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能。然刀子磨的太快,使起来锋利,却容易折断。凡事皆有利弊二性,因地制宜,因时制宜,全在如何权衡而已。本文讲述了绑定变量的使用方法,以及绑定变量的优缺点、使用场合。
 
提到绑定变量,就不得不了解硬解析与软解析。硬解析简言之即一条SQL语句没有被运行过,处于首次运行,则需要对其进行语法分析,语义识别,跟据统计信息生成最佳的执行计划,然后对其执行。而软解析呢,则是由于在library cache已经存在与该SQL语句一致的SQL语句文本、运行环境,即有相同的父游标与子游标,采用拿来主义,直接执行即可。软解析同样经历语法分析,语义识别,且生成hash value ,接下来在library cache搜索相同的hash value ,如存在在实施软解析。有关更多的硬解析与软解析以及父游标,子游标

绑定变量是为了减少解析的,比如你有个语句这样:

select aaa,bbb from ccc where ddd=eee;
如果经常通过改变eee这个谓词赋值来查询,像如下
select aaa,bbb from ccc where ddd=fff;
select aaa,bbb from ccc where ddd=ggg;
select aaa,bbb from ccc where ddd=hhh;
每条语句都要被数据库解析一次,这样比较浪费资源,如果把eee换成“:1”这样的绑定变量形式,无论ddd后面是什么值,都不需要重复解析

假设要将id从1到10000的员工的工资都更新为150.00元,
不使用绑定变量:
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 1");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 2");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 3");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 4");
....
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 10000");

使用绑定变量:
UPDATE employees SET salay = ? WHERE id = ?"

二者区别在于,不用绑定变量,则相当于反复解析、执行了1w个sql语句。使用绑定变量,解析sql语句只用了一次,之后的9999次复用第一次生成的执行计划。显然,后者效率会更高一些。

 什么时候不应该/不必要使用绑定变量
•a. 如果你用数据仓库,一条大查询一跑几个小时,根本没必要做绑定变量,因为解析的消耗微乎其微。

•b. 变量对优化器产生执行计划有很重要的影响的时候:绑定变量被使用时,查询优化器会忽略其具体值,因此其预估的准确性远不如使用字面量值真实,尤其是在表存在数据倾斜(表上的数据非均匀分布)的列上会提供错误的执行计划,从而使得非高效的执行计划被使用。


大家都知道在HQL中可以使用?或者:***的方式在外部配置查询参数,如:

Query query=session.createQuery("from TestStu s where s.team=:team and s.age>:age"); 或者

Query query=session.createQuery("from TestStu s where s.team=? and s.age>?);

这句话的意思是从一个持久的team对象中,取出其持有的TestStu集合,并筛选出age大于执行数据的记录

我们可以这样设置参数
query.setParameter("team",team,Hibernate.entity(TestTeam.class));
 //或者使用query.setEntity("team",team);
query.setParameter("age", 15);

 

但我们决不能在HQL中又出现?,又出现变量占位符,即

Query query=session.createQuery("from TestStu s where s.team=? and s.age>:age);

这样,在设置参数时候,会出现异常如下:

 cannot define positional parameter after any named parameters have been defined [from Search.filter.TestStu s where s.team=:team and s.age>?] 

 


您可能感兴趣的与本文相关的镜像

Facefusion

Facefusion

AI应用

FaceFusion是全新一代AI换脸工具,无需安装,一键运行,可以完成去遮挡,高清化,卡通脸一键替换,并且Nvidia/AMD等显卡全平台支持

pymssql 简单记录占位符
geminitroy的博客
11-27 613
数据库表如图: 主要记录关于sql中用占位符和上传image字段的方法, 下为按钮单击后执行插入信息事件部分代码记录,其中‘self.m_filePicker1.GetPath()’是其他部分代码取到的图片物理路径全名。 def upLoad(self, event): # 只读打开图片 f = open(self.m_filePicker1.GetPath(), "rb") data = f.read() # 返回文件信息 f.cl
SQL语句填充占位符
04-22
动态生成SQL语句,通过给定的条件自动填充预设SQL语句的配位符,而避免通过程序判断生成SQL语句
Oracle的动态SQL
NowOrNever
10-05 1万+
原文:http://space.itpub.net/26622598/viewspace-718134 在PLSQL使用EXECUTE IMMEDIATE语句处理动态SQL语句。 语法如下: EXECUTE IMMEDIATE dynamic_string [INTO {define_variable[, define_variable]... | record}] [USING [I
生成SQL IN子句占位符
最新发布
Leon_Jinhai_Sun的博客
09-19 297
代码片段 | 作用 | 输入示例 | 输出示例 |' }| 将集合的每个元素映射为字符串[‘?’, ‘?’, ‘?’].join(‘,’)| 用逗号连接集合所有元素 |[‘?’, ‘?’, ‘?’]整体代码生成SQL IN查询的参数占位符| ‘?这行代码是Groovy强大表达力的一个完美体现,用非常简洁和优雅的方式解决了SQL查询中的一个常见且重要的安全问题。
聊聊 SQL 语句中的占位符
yangshuquan的专栏
08-21 1758
大家都知道,在 SQL 语句中,可以使用 LIKE 进行模糊查询,但可能大家不知道的是,LIKE 语句的占位符除了 % 占位符之外,还有 _ 占位符,理解这些占位符可以帮助我们更有效地构造查询并进行字符串匹配,提高程序性能
SQL占位符?的用法介绍~
热门推荐
程序人生~
11-14 4万+
Sql语句中的占位符?有什么作用 String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ; pstmt = conn.prepareStatement(sql) ; pstmt.setString(1,userid) ; // 这里设置了第一个?的值 pstmt.setString(2,pas...
SQL占位符
m0_51548758的博客
09-30 1445
问号(?:最常用的占位符,适用于多种数据库。命名占位符(如 :name):提高可读性,强烈建议使用。百分号(%):在 LIKE 查询中作为通配符使用。数字占位符:特定数据库系统中,使用参数的位置索引。使用这些占位符可以提高 SQL 查询的安全性和可读性,减少 SQL 注入的风险。
JS替换SQL占位符替换工具 Fix placeholder
04-06
通过JS替换SQL占位符,开发者可以更安全、高效地构建动态SQL语句,减少手动操作带来的错误和风险。 不过,由于缺少具体的源码和详细信息,以上只是一种基于标题和标签的推测。要深入了解这个工具的工作原理和具体...
Mybatis日志参数快速替换占位符工具的详细步骤
08-18
为了便于快速排错和理解SQL逻辑,开发者可以使用这个工具将日志中的占位符替换为实际参数值。 在Mybatis的执行日志中,通常会显示如下格式: ``` 2020-08-04 09:16:44 -DEBUG - [io-8888-exec-5] .mapper....
JS实现SQL占位符替换工具的使用与源码解析
- **最佳实践:** 在进行SQL占位符的替换时,应该遵循最佳实践,例如使用预编译语句(prepared statements)和参数化查询。 通过以上知识点的介绍,可以对"JS替换SQL占位符替换工具 Fix placeholder"的背景、用途和...
SQL语句中的占位符是干什么的?底层原理是什么?
长风破浪会有时的博客
05-14 2139
在PHP中,PDO和mysqli扩展都支持预处理语句,并且提供了绑定参数的方法来使用占位符。例如,使用PDO的prepare()方法准备SQL语句,然后使用bindParam()或bindValue()方法来绑定参数值。在执行时,使用execute()方法执行SQL语句即可。当一个SQL语句使用占位符时,数据库系统可以预编译该语句,并在需要执行时,只需要绑定参数并执行,避免了每次执行都需要解析和编译SQL语句的开销。它们被用来构建可重用的SQL语句,通过在运行时绑定实际的参数值,以生成具体的SQL语句。
sql占位符的作用
woshiliulei0的专栏
03-07 8135
这两天在上课时被同学拿了一段代码问我,这段代码有什么问题,我看了一会说:Connection和PreparedStatement都没关。他说不止这方面的问题,还有sql注入的问题,我就坚决的说使用占位符不存在sql注入的问题,但是他提出了一种情况,在我看来也很有道理的情况。 [java] view plain copy pstmt = conn
sql占位符
yyf_ad的专栏
01-26 1589
http://blog.youkuaiyun.com/yan465942872/article/details/6753957 这两天在上课时被同学拿了一段代码问我,这段代码有什么问题,我看了一会说:Connection和PreparedStatement都没关。他说不止这方面的问题,还有sql注入的问题,我就坚决的说使用占位符不存在sql注入的问题,但是他提出了一种情况,在我看来也很有道理的
SQL 占位符
ghostmac的专栏
06-13 3888
cmd.CommandText = "select * from LogIn where username = @username and password = @password";cmd.Parameters.Add(new SqlParameter("username", userName));cmd.Parameters.Add(new SqlParameter("password
2019-5-8 sql占位符
tuohuangzhe860的博客
05-08 533
2019.5.8 1、SQL语句中占位符的优点 增加SQL代码可读性 占位符可以预先编译,提高执行效率 防止SQL注入 绑定变量,可以减少数据SQL的硬解析 硬解析:一条SQL语句以前没有被执行过,首次运行时需要对其尽心语法分析,语义识别,根据统计信息生成最佳的执行计划,然后执行。 软解析:在library cache已经存在与该SQL语句一致的SQL语句文本、运行环境,有相同的父游标和子游标,直...
sql语句中的占位符?有什么作用
weixin_30293079的博客
09-22 823
String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ; pstmt = conn.prepareStatement(sql) ; pstmt.setString(1,userid) ; // 这里设置了第一个?的值 pstmt.setString(2,password) ; // 这里...
SQL中的占位符、@Param注解和方法参数
2401_83708850的博客
07-24 329
@Param("username") :给参数 命名 ,告诉MyBatis“这个参数对应SQL中的 #{username} ”- String username :方法的 形参变量 ,接收外部传入的用户名(比如用户登录时输入的值)- 作用 :MyBatis的 参数占位符 ,会被替换成 @Param("username") 注解的参数值。- 分层设计 :Java代码(方法参数)→ ORM框架(MyBatis注解)→ 数据库(表字段)的 解耦。- 位置 :方法参数前的注解。
SQL注入、占位符拼接符
喜欢猪猪
06-03 3263
目录 一、什么是SQL注入 二、Mybatis中的占位符和拼接符 三、为什么PreparedStatement 有效的防止sql注入? 一、什么是SQL注入 官方: 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQ..
sql占位符
IT人生
09-12 362
sql占位符 '_' ':'    
java sql使用占位符
09-12
在Java中,SQL使用占位符可除去繁琐的字符串拼接操作,且能避免SQL注入的风险。通常使用`?`来表示占位符,以下以一个示例展示具体使用方法: ```java import java.sql.Connection; import java.sql.DriverManager; import java.sql.PreparedStatement; import java.sql.ResultSet; import java.sql.SQLException; public class SQLPlaceholderExample { public static void main(String[] args) { String url = "jdbc:mysql://localhost:3306/your_database"; String username = "your_username"; String password = "your_password"; try (Connection connection = DriverManager.getConnection(url, username, password)) { // 定义带占位符SQL语句 String sql = "SELECT * FROM user_login WHERE user_password=? AND (user_name=? OR user_telNumber=?)"; // 创建PreparedStatement对象 PreparedStatement preparedStatement = connection.prepareStatement(sql); // 为占位符设置值,索引从1开始 preparedStatement.setString(1, "your_password_value"); preparedStatement.setString(2, "your_username_value"); preparedStatement.setString(3, "your_username_value"); // 执行查询,使用不带参数的executeQuery方法 ResultSet resultSet = preparedStatement.executeQuery(); if (resultSet.next()) { // 处理查询结果 } else { // 未找到匹配结果的处理 } } catch (SQLException e) { e.printStackTrace(); } } } ``` 在上述代码中,首先定义了一个带占位符SQL语句,接着创建`PreparedStatement`对象,然后使用`setString`等方法为占位符设置具体的值,索引从1开始。最后执行查询时,使用不带参数的`executeQuery`方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值