SQL 预编译(Prepared Statement)

原创 于 2025-08-25 09:45:00 发布 · 884 阅读 · 10 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#sql #数据库
Python3.8

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

一、什么是 SQL 预编译?

SQL 预编译(Prepared Statement,又叫预处理语句)指的是:

在执行 SQL 语句之前,先把 SQL 的结构交给数据库进行编译、优化,生成执行计划;之后执行时只需要传递参数,而不用重新解析和编译。

二、为什么会有预编译?

1. 性能优化

普通 SQL 流程:

  1. 解析 SQL → 生成执行计划 → 执行 → 返回结果

  2. 每次执行相同 SQL(哪怕参数不同)都要 重复解析和编译

预编译 SQL 流程:

  1. 第一次:解析 SQL 模板(带占位符的),生成执行计划并缓存。

  2. 后续:只需要传入不同参数,直接复用执行计划 → 性能更高

2. 防止 SQL 注入

如果用字符串拼接: 

"SELECT * FROM users WHERE username = '" + userInput + "';"

userInput = "' OR 1=1 --",就会被注入。而用预编译: 

SELECT * FROM users WHERE username = ?

数据库会把 SQL 结构参数 分开处理,参数不会当作 SQL 语句的一部分,从根本上避免注入。

3. 提升可维护性

  • SQL 模板和参数分离,代码更清晰。

  • 一条 SQL 可以重复使用,减少冗余。

三、预编译的作用总结

  1. 性能提升:避免重复解析、编译,尤其在高并发、大量重复 SQL 的场景下。

  2. 安全性增强:有效防止 SQL 注入。

  3. 结构清晰:SQL 模板化,代码更易读、易维护。

四、常见实用场景

1. 批量插入

INSERT INTO users (name, age) VALUES (?, ?)

后续只换参数,一次性插入大量数据,减少 SQL 解析开销。

2. 高并发查询

例如登录验证: 

SELECT * FROM users WHERE username=? AND password=?

每次用户登录只换参数,数据库执行效率更高。

3. 分页查询、条件过滤

同一个 SQL 模板,多次传不同参数: 

SELECT * FROM products WHERE category=? LIMIT ?, ?

4. 防注入的 API / Web 项目

所有涉及用户输入的查询、更新,几乎都应该用预编译,例如: 

UPDATE users SET password=? WHERE id=?

五、不同语言中的示例

Java(JDBC)

PreparedStatement ps = conn.prepareStatement("SELECT * FROM users WHERE id=?");
ps.setInt(1, 1001);
ResultSet rs = ps.executeQuery();

Node.js (MySQL2)

const [rows] = await conn.execute("SELECT * FROM users WHERE id = ?", [1001]);

Python (PyMySQL)

cursor.execute("SELECT * FROM users WHERE id=%s", (1001,))

✅ 总结:
SQL 预编译的本质是 把 SQL 语句模板化,让数据库提前编译执行计划,从而带来 性能优化安全提升。它最常见的场景就是 高并发应用涉及用户输入的查询/更新操作

您可能感兴趣的与本文相关的镜像

Python3.8

Python3.8

Conda
Python

Python 是一种高级、解释型、通用的编程语言,以其简洁易读的语法而闻名,适用于广泛的应用,包括Web开发、数据分析、人工智能和自动化脚本

MySQLSQL预编译及防SQL注入
qq_29750559的博客
11-13 2200
本文主要介绍mysql预编译原理、作用以及它是如何防止sql注入的
MySQL Prepared语句(Prepared Statements)
最简单的方法,解决最实际的问题。
04-17 3862
数据库应用中,很多SQL语句都会重复执行很多次,每次执行可能只是where条件中的变量值不同,但MySQL依然会解析SQL语法并生成执行计划。对于这类情况,可以利用prepared语句来避免重复解析SQL的开销。
深入理解预编译SQL:提升性能与安全性的利器
xycxycooo的博客
11-08 1186
我们定义了一个SQL查询字符串,其中包含两个占位符。
SQL预编译
weixin_47804371的博客
03-22 6928
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
[MySQL]——SQL预编译、动态sql
Panci_的博客
10-31 9080
一条sql语句的执行过程为语法检查与解析->sql优化->编译->执行。原始的sql存在弊端,每条语句编译生成不同的SQL语句,浪费性能和空间。 两种参数占位符的区别 动态SQL的使用
sql预编译
Mark
07-20 4853
1、什么是预编译 1.1、 sql的执行过程 ① 词法和语义分析② 优化sql语句,指定执行计划③ 执行并返回结果我们把这种普通语句称作Immediate Statements。 select colume from table where colume=1; select colume from table where colume=2; 但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同,那么这个时候会对上面两条语句生成两个执行计划,一千次查询就需要一千个执行计划,
MyBatis中的statementType详解
热门推荐
程序员Feri
08-08 3万+
在mapper文件中可以使用statementType标记使用什么的对象操作SQL语句。 statementType:标记操作SQL的对象 取值说明: 1、STATEMENT:直接操作sql,不进行预编译,获取数据:$—Statement 2、PREPARED:预处理,参数,进行预编译,获取数据:#—–PreparedStatement:默认 3、CALLABLE:执行存储过程————Ca
MyBatis 记录 2 - 参数 StatementType
c123m的专栏
07-19 267
statementType:标记操作SQL的对象。在mapper文件中可以使用statementType标记使用什么对象操作SQL语句。 取值说明 1、STATEMENT:直接操作sql,不进行预编译,获取数据:$--Statement 2、PREPARED:预处理,参数,进行预编译,获取数据:#--PreparedStatement:默认 3、CALLABLE:执行存储过程—CallableStatement 其中如果在文件中,取值不同,那么获取参数的方式也不同 <update id=
mybatis xml文件中statementType类型
Lugem2011的专栏
12-24 1075
xml文件示例如下: <select id="selectMultiObject" parameterType="java.lang.String" resultType="java.util.HashMap" statementType="PREPARED"> ${parameter} </select> <select id="selectObject" parameterType="java.lang.String" resu.
Mybatis里面的StatementType的解释说明
Guizy
11-09 971
原文链接: Mybatis里面的StatementType的解释说明 正文 在mapper文件中可以使用statementType标记使用什么的对象操作SQL语句。  statementType:标记操作SQL的对象  要实现动态传入表名、列名,需要做如下修改 ,添加属性statementType=”STATEMENT” ,同时sql里的属有变量取值都改成${xxxx},而不是#{xxx}
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
sql预编译
weixin_52237037的博客
10-18 3039
sql预编译就是说:对于一个sql语句的执行,首先要进行,而上面这些sql语句,结构相同,只是参数不同,需要,这样就导致执行效率低。我们可以使用以下语句预编译后的sql语句,执行代码会缓存下来,这样在下次调用的时候,直接给占位符传参,执行即可。所以我们对于相同的预编译语句,我们只需要。可以视为将sql语句。一次编译、多次运行,省去了解析优化等过程。
SQL注入——预编译
weixin_52463619的博客
03-01 1239
预编译是指在执行 SQL 语句之前,数据库系统先对 SQL 语句进行编译和解析,生成一个执行计划。在执行时,只需要将用户输入的参数传递给这个预编译的语句,而不是直接将参数拼接到 SQL 语句中。这样可以确保用户输入的内容不会影响 SQL 语句的结构,从而防止 SQL 注入攻击。
sql 预编译语句
weixin_41563161的博客
11-25 5661
sql 预编译语句 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种普通语句称作Immediate Statements。 但是很多情况,我们的一条sql语句可能会反
sql 预编译 & 防止sql注入:
梦~'
10-10 4660
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL预编译 2.数据库预编译为何能防止SQL注入 一、sql预编译数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相...
预编译SQL
最新发布
2203_75590501的博客
04-24 510
这种呢,就是参数值,直接拼接在SQL语句中,参数值是写死的。这种呢,并未将参数值在SQL语句中写死,而是使用?进行占位,然后再指定每一个占位符对应的值是多少,而最终在执行SQL语句的时候,程序会将SQL语句(SELECT * FROM user WHERE username =?),以及参数值("daqiao", "123456")都发送给数据库,然后在执行的时候,会使用参数值,将?占位符替换掉。防止SQL注入性能更高通过控制输入来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法。
SQL预编译——预编译真的能完美防御SQL注入吗
ALe0721的博客
04-18 1933
预编译就是在执行 SQL 前,把 SQL 语句先告诉数据库服务器,编译好结构,然后再单独传参数进去执行!Prepared Statement(预处理语句 / 预编译语句)正常写 SQL 是怎样的?username = input("请输入用户名:")这就好像直接把“用户输入”和“SQL语句”拼成一整句话。用户只要输入了奇怪的东西,就能控制整个 SQL 的逻辑!Σ(っ °Д °;)っusername = input("请输入用户名:")重点就是!SQL 写的时候,用 占位符(?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星空下的DeppBing

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值