Mysql prepare statment in 的一个陷阱

最新推荐文章于 2024-08-02 12:47:35 发布
最新推荐文章于 2024-08-02 12:47:35 发布
阅读量248 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 数据库
原文链接:https://my.oschina.net/komodo/blog/919189
探讨MySQL中使用PrepareStatement设置IN表达式参数时遇到的问题,即只返回逗号分隔的第一个值,而非所有匹配项。通过具体示例对比正确与错误用法,并给出解决方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

使用prepare statment设置in表达式的参数,结果没有像预想的那样,既没有出错,也没有返回全部的值,而是只返回了逗号分隔的第一值的结果。不知道mysql为什么要这么设计,还不如直接报错了好。

mysql> prepare stmt1 from 'select id,name from user where id in (?)'; 
mysql> set @a = '4208064,7303964,7303967,7355999'; 
mysql> execute stmt1 using @a ; 
+---------+----------+ 
| id | name | 
+---------+----------+ 
| 4208064 | aaaaaaaa | 
+---------+----------+ 
1 row in set (0.00 sec) 
mysql> select id, name from user where id in (4208064,7303964,7303967,7355999); 
+---------+------------+ 
| id | name | 
+---------+------------+ 
| 4208064 | aaaaaaaa | 
| 7303964 | bbbbbbbb | 
| 7303967 | cccccc | 
| 7355999 | ddddddddd | 
+---------+------------+ 
4 rows in set (0.00 sec)

如果非要用, 只能这样: [sourcecode]

mysql> prepare stmt1 from 'select id,name from user where id in (?,?,?,?)'; 
mysql> set @a = '4208064'; 
mysql> set @b = '7303964'; 
mysql> set @c = '7303967'; 
mysql> set @d = '7355999'; 
mysql> execute stmt1 using @a, @b, @c, @d; 
+---------+------------+ 
| id | name | 
+---------+------------+ 
| 4208064 | aaaaaaaa | 
| 7303964 | bbbbbbbb | 
| 7303967 | cccccc | 
| 7355999 | ddddddddd | 
+---------+------------+ 
4 rows in set (0.00 sec)

[/sourcecode] 所以,你要在程序中正确的生成"?,?,?,?",问好的个数和参数的个数对应。

转载于:https://my.oschina.net/komodo/blog/919189

choulu2000
关注
MySQL如何对SQL做prepare预处理(解决IN查询SQL预处理仅能查询出一条记录的问题)
m0_54849873的博客
07-28 772
多次执行一条SQL语句时,如果每次都处理该SQL语句,生成执行计划,必然会浪费一定的时间。SQL预处理(Prepare),是一种特殊的SQL处理方式;预处理不会直接执行SQL语句,而是先将SQL语句编译,生成执行计划,然后通过Execute命令携带SQL参数执行SQL语句。Prepare的使用十分广泛,绝大多数ORM框架都有API支持;Prepare既可以提升SQL执行性能,还能防止SQL注入引发的安全问题;...
Java之MySQLprepareStatement的基本使用
qq_45920729的博客
02-18 3555
1.什么是prepareStatement prepareStatement是表示预编译的 SQL 语句的对象。 2.为什么使用prepareStatement 1.以前的statement的执行,是先拼接sql语句然后在一起执行。在这种情况下,如果sql语句中的变量带有了数据库的关键字,那么一并认为是是关键字,而不是普通的字符串。 2.使用prepareStatement时,预先处理给定的S...
mysql prepare in方法_MySQL PREPARE statement in stored procedures
weixin_35699471的博客
02-17 172
问题I have this sql file:USE mydb;DROP PROCEDURE IF EXISTS execSql;DELIMITER //CREATE PROCEDURE execSql (IN sqlq VARCHAR(5000)) COMMENT 'Executes the statement'BEGINPREPARE stmt FROM sqlq;EXECUTE stmt;D...
mysql prepare in方法_Mysql prepare statment in一个陷阱
weixin_30636329的博客
02-07 477
使用prepare statment设置in表达式的参数,结果没有像预想的那样,既没有出错,也没有返回全部的值,而是只返回了逗号分隔的第一值的结果。不知道mysql为什么要这么设计,还不如直接报错了好。mysql> prepare stmt1 from 'select id,name from user where id in (?)';mysql> set @a = '4208064...
mysql prepare in方法_存储过程中的MySQL PREPARE语句
weixin_33680447的博客
02-26 342
我有这个sql文件:USE mydb;DROP PROCEDURE IF EXISTS execSql;DELIMITER //CREATE PROCEDURE execSql (IN sqlq VARCHAR(5000)) COMMENT 'Executes the statement'BEGINPREPARE stmt FROM sqlq;EXECUTE stmt;DEALLOCATE PRE...
MySQLPREPARE中绑定WHERE IN子句参数
安静的技术宅
09-17 309
MySQL 中,PREPARE 是一种用于准备执行动态 SQL 语句的机制。通过 PREPARE,你可以将一个 SQL 查询或操作的查询计划(执行计划)准备好,然后在稍后的时间点执行它,而不是立即执行。SQL 注入防护: 使用 PREPARE 可以在准备 SQL 语句时进行参数绑定,从而防止 SQL 注入攻击。因为动态构建 SQL 查询字符串并将参数直接插入字符串是一种不安全的做法,而 PREPARE 允许你将参数作为占位符传递,从而提高了安全性。
MySQLPrepared Statement 预处理语句
热带鱼的技术博客
08-02 1010
预处理语句(Prepared Statement)是一种在数据库管理系统中使用的编程概念,用于执行对数据库进行操作的 SQL 语句。 使用预处理语句的具体方式和语法依赖于所用的编程语言和数据库管理系统。常见的编程语言如 *Java、PHP、Python* 和 *C#* 都提供了对预处理语句的支持。
MySql优化系列-进阶版造数据(load data statment)-3
u014133299的博客
02-11 778
load data mysql 快速造大量数据
mysql binlog一篇上手
Null的博客
06-09 951
1、检查是否开启binlog日志 show global variables like "%log_bin%";
MySQL存储与优化 一、MySQL架构原理
qq_43626215的博客
07-03 1220
Undo:以为撤销或取消,以撤销操作为目的,返回指定某个状态的操作Undo Log:数据库事务开始之前,会将要修改的记录存放到Undo日志里,当事务回滚时或者数据库崩溃时,可以利用Undo日志,撤销未提交事务对数据库产生的影响Undo Log产生和销毁:Undo Log在事务开始前产生;事务在提交时,并不会立刻删除undo log,innodb会将该事务对应的undo log放入到删除列表中,后面会通过后台线程purge thread进行回收处理。Undo Log属于逻辑日志,记录一个变化的过程。
PrepareStatementin 参数和 like 参数的用法
tjmljw的专栏
07-25 523
  in 参数   String sql = "select * from user where user.age in (?, ?, ?, ?) and name like ?; ... ... stmt.setInt(1, 11); stmt.setInt(2, 12); stmt.setInt(3, 13); stmt.setInt(4, 14);   like 参数...
prepareStatement中的in查询
xuanlanbaicai的专栏
08-19 3483
 近日项目中,用prepareStatement操作数据库,涉及到sql的in查询,在PLSQL中测试,有数据,但放在项目中就查不出数据 String reportsql=" select to_char(action_date,yyyy-mm) action_date, tt.ad_name ad_name, t.ad_site ad_site, t.m_browse_num cli
JDBC PreparedStatement 批量查询 in 的实现 方案
热门推荐
Heaven Wang 的专栏
04-18 3万+
我们经常会有这种业务需求,根据一个条件集合去查询一张表的数据,比如: select * from all_element t where t.task_id in (List <taskids>); 在java语言中,我们需要用到JDBC来和数据库打交道,那么在JDBC中该如何处理这种需求呢?我们可以有如下几种处理方式
MySQLprepare使用中的bug解析过程
GreatSQL2021的博客
05-07 417
GreatSQL社区原创内容未经授权不得随意使用,转载请联系小编并注明来源。 [toc] 一、问题发现 在一次开发中使用 MySQL PREPARE 以后,从 prepare 直接取 name 赋值给 lex->prepared_stmt_name 然后给 EXECUTE 用,发现有一定概率找不到 prepare stmt 的 name,于是开始动手调查问题发生的原因。 SQL语句示例: CREATE TABLE t1 (a INT, b VARCHAR(10)); PREPARE dbms_sq.
mysql当中prepare预处理报错
u012565458的博客
08-22 1046
然后,我们使用 SET 语句设置 @age_limit 的值为 18,接着使用 EXECUTE 语句执行预处理语句 stmt,通过 USING 子句传入参数 @age_limit。但是,如果你准备的语句是动态生成的,或者你在执行大量的不同查询时使用了准备的语句,那么你应该在每次执行完EXECUTE后立即关闭准备的语句,以避免消耗过多的系统资源。其中,statement_name 是我们给预处理语句起的一个名称,可以自定义,sql_statement 是要编译的 SQL 查询或语句。
mysql+预处理语句+in_MySQL中预处理语句prepare、execute与deallocate的使用教程
weixin_39821604的博客
02-02 289
前言MySQL官方将prepare、execute、deallocate统称为PREPARE STATEMENT,我习惯称其为【预处理语句】,其用法十分简单,下面话不多说,来一起看看详细的介绍吧。示例代码 PREPARE stmt_name FROM preparable_stmtEXECUTE stmt_name[USING @var_name [, @var_name] ...] -{DEAL...
PrepareStatement sql语句in中多个参数的实现
LIsmooth的博客
08-08 2万+
下边是今天探索PrepareStatement预编译where条件为in的sql语句的过程,在mysql环境中只有第四种方法实现了,Oracle中可能第三种也可以不过没有测试,如果有需要可以直接跳转。1.通过拼接字符串设置参数×今天在实现一个数据库批量更新的代码时,发现String sql = "UPDATE t_demo SET columns='Well' WHERE column_id IN
prepareStatement基本用法
weixin_42353562的博客
08-02 493
1.PreparedStatement是预编译的,对于批量处理可以大大提高效率. 也叫JDBC存储过程 2.使用 Statement 对象。在对数据库只执行一次性存取的时侯,用 Statement 对象进行处理。PreparedStatement 对象的开销比Statement大,对于一次性操作并不会带来额外的好处。 3.statement每次执行sql语句,相关数据库都要执行sql语句的编译...
statment接口
最新发布
03-25
<think>好的,我现在需要帮助用户了解如何使用JDBC中的Statement接口。根据用户的问题,他们想了解Statement接口的用法或相关文档。首先,我需要整理用户提供的引用内容,并确保回答符合系统级指令的要求,比如正确使用LaTeX格式和中文回答,同时生成相关问题。 首先,回顾用户提供的引用内容: 引用[1]和[2]详细说明了使用Statement接口的基本步骤,包括获取连接、创建Statement对象、执行SQL语句以及释放资源。引用[4]提到了execute方法返回布尔值,而引用[3]则涉及PreparedStatement,这可能与Statement的优化有关,但用户主要关注的是Statement接口本身。 接下来,我需要组织回答结构。根据用户示例中的快速排序部分,回答应包括一个清晰的步骤说明,可能附上代码示例,然后生成相关问题。同时,要确保所有数学表达式(如果有的话)使用正确的LaTeX格式,但当前主题是JDBC,可能数学内容较少,但需要注意代码块的正确格式。 步骤部分需要涵盖: 1. 加载驱动(可选) 2. 获取连接 3. 创建Statement对象 4. 执行SQL(增删改查) 5. 处理结果 6. 释放资源 需要区分executeUpdate和executeQuery的不同使用场景,以及execute方法的应用。同时,提到Statement的缺点,比如SQL注入风险,引出PreparedStatement作为优化方法,但用户当前问题不涉及这个,所以可能需要放在注意事项里。 代码示例部分,用户引用了Python的快速排序代码,但JDBC通常用Java,所以需要用Java示例。例如,添加、更新、删除和查询操作的代码片段。 注意事项部分需要强调SQL注入和资源释放的重要性,同时提到性能问题,为后续问题生成做铺垫。 生成的相关问题需要围绕Statement接口的深入使用、优化、对比等,比如性能分析、防止注入的方法、与PreparedStatement的区别等。 现在需要检查是否符合所有系统指令:中文回答、正确代码块、引用标识、相关问题的生成。同时确保没有使用任何Markdown格式,除了代码块用三个反引号包裹,并标明语言为java。 最后,确保每个引用在回答中正确标注,比如在提到executeUpdate时引用[2],提到execute方法时引用[4]。</think>### Statement接口用法详解 JDBC的Statement接口用于执行静态SQL语句,支持增删改查操作[^2]。核心用法分为六个步骤: #### 1. 加载驱动(可选) 现代JDBC驱动自动注册,可省略: ```java Class.forName("com.mysql.cj.jdbc.Driver"); ``` #### 2. 建立数据库连接 使用DriverManager获取连接: ```java Connection conn = DriverManager.getConnection( "jdbc:mysql://localhost:3306/test", "root", "123456"); ``` #### 3. 创建Statement对象 通过Connection对象创建: ```java Statement stmt = conn.createStatement(); ``` #### 4. 执行SQL语句 根据操作类型选择执行方法: - **增删改操作**(返回受影响行数): ```java int rows = stmt.executeUpdate("UPDATE users SET age=22 WHERE id=1"); // [^2] ``` - **查询操作**(返回结果集): ```java ResultSet rs = stmt.executeQuery("SELECT * FROM users WHERE age>18"); ``` - **通用执行**(返回布尔值): ```java boolean hasResult = stmt.execute("CREATE TABLE temp(id INT)"); // [^4] ``` #### 5. 处理结果集 ```java while(rs.next()) { System.out.println(rs.getString("name") + ":" + rs.getInt("age")); } ``` #### 6. 释放资源 按创建顺序反向关闭: ```java rs.close(); stmt.close(); conn.close(); ``` ### 代码示例:用户数据管理 ```java // 插入数据 String insertSQL = "INSERT INTO users VALUES(2,'李四',25)"; stmt.executeUpdate(insertSQL); // 更新数据 String updateSQL = "UPDATE users SET age=26 WHERE name='李四'"; int updatedRows = stmt.executeUpdate(updateSQL); // 查询验证 ResultSet rs = stmt.executeQuery("SELECT * FROM users"); while(rs.next()) { System.out.println(rs.getString("name") + ":" + rs.getInt("age")); } ``` ### 注意事项 1. **SQL注入风险**:拼接SQL语句易受攻击,如`WHERE id='${userInput}'` 2. **资源泄漏**:必须显式关闭连接(推荐使用try-with-resources) 3. **性能瓶颈**:每次执行需重新编译SQL语句[^3] 4. **数据类型限制**:需要手动处理特殊字符和数据类型转换 ### 性能优化建议 当执行$n$次同类操作时,Statement会产生$O(n)$次编译开销,而PreparedStatement只需$O(1)$次编译。推荐高频操作使用预编译接口。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值