準備されたステートメント
プリペアドステートメントは、パラメーターのみが異なる複数の SQL ステートメントをテンプレート化します。これにより、SQL ステートメントがパラメーターから分離されます。これを使用して、SQL ステートメントの次の側面を改善できます。
- セキュリティ: パラメータとステートメントが分離されているため、 SQL インジェクションの攻撃のリスクが回避されます。
- パフォーマンス: ステートメントは TiDBサーバーで事前に解析されるため、後続の実行ではパラメーターのみが渡され、SQL ステートメント全体の解析、SQL ステートメント文字列のスプライシング、およびネットワーク送信のコストが節約されます。
ほとんどのアプリケーションでは、SQL ステートメントを列挙できます。限られた数の SQL ステートメントを使用して、アプリケーション全体のデータ クエリを完了することができます。そのため、プリペアドステートメントを使用するのがベスト プラクティスです。
SQL 構文
このセクションでは、プリペアドステートメントを作成、実行、および削除するための SQL 構文について説明します。
プリペアドステートメントを作成する
PREPARE {prepared_statement_name} FROM '{prepared_statement_sql}';
| パラメータ名 | 説明 |
|---|---|
{prepared_statement_name} | プリペアドステートメントの名前 |
{prepared_statement_sql} | プレースホルダーとして疑問符を含むプリペアドステートメントSQL |
詳細については、 PREPARE ステートメントを参照してください。
プリペアドステートメントを使用する
プリペアドステートメントはユーザー変数のみをパラメーターとして使用できるため、 EXECUTEステートメントがプリペアドステートメントを呼び出す前に、 SETステートメントを使用して変数を設定します。
SET @{parameter_name} = {parameter_value};
EXECUTE {prepared_statement_name} USING @{parameter_name};
| パラメータ名 | 説明 |
|---|---|
{parameter_name} | ユーザー変数名 |
{parameter_value} | ユーザー変数値 |
{prepared_statement_name} | 前処理ステートメントの名前。これは、 プリペアドステートメントを作成するで定義された名前と同じでなければなりません。 |
詳細については、 EXECUTEステートメントを参照してください。
プリペアドステートメントを削除する
DEALLOCATE PREPARE {prepared_statement_name};
| パラメータ名 | 説明 |
|---|---|
{prepared_statement_name} | 前処理ステートメントの名前。これは、 プリペアドステートメントを作成するで定義された名前と同じでなければなりません。 |
詳細については、 DEALLOCATEステートメントを参照してください。
例
このセクションでは、準備済みステートメントの 2 つの例 ( SELECTデータとINSERTデータ) について説明します。
SELECT例
たとえば、 bookshop申し込み中id = 1の本を照会する必要があります。
- SQL
- Java
PREPARE `books_query` FROM 'SELECT * FROM `books` WHERE `id` = ?';
実行結果:
Query OK, 0 rows affected (0.01 sec)
SET @id = 1;
実行結果:
Query OK, 0 rows affected (0.04 sec)
EXECUTE `books_query` USING @id;
実行結果:
+---------+---------------------------------+--------+---------------------+-------+--------+
| id | title | type | published_at | stock | price |
+---------+---------------------------------+--------+---------------------+-------+--------+
| 1 | The Adventures of Pierce Wehner | Comics | 1904-06-06 20:46:25 | 586 | 411.66 |
+---------+---------------------------------+--------+---------------------+-------+--------+
1 row in set (0.05 sec)
// ds is an entity of com.mysql.cj.jdbc.MysqlDataSource
try (Connection connection = ds.getConnection()) {
PreparedStatement preparedStatement = connection.prepareStatement("SELECT * FROM `books` WHERE `id` = ?");
preparedStatement.setLong(1, 1);
ResultSet res = preparedStatement.executeQuery();
if(!res.next()) {
System.out.println("No books in the table with id 1");
} else {
// got book's info, which id is 1
System.out.println(res.getLong("id"));
System.out.println(res.getString("title"));
System.out.println(res.getString("type"));
}
} catch (SQLException e) {
e.printStackTrace();
}
INSERT例
例としてbooksテーブルを使用すると、 title = TiDB Developer Guide 、 type = Science & Technology 、 stock = 100 、 price = 0.0 、およびpublished_at = NOW() (現在の挿入時間) の本を挿入する必要があります。 booksテーブルの主キーにAUTO_RANDOM属性を指定する必要がないことに注意してください。データの挿入の詳細については、 データの挿入を参照してください。
- SQL
- Java
PREPARE `books_insert` FROM 'INSERT INTO `books` (`title`, `type`, `stock`, `price`, `published_at`) VALUES (?, ?, ?, ?, ?);';
実行結果:
Query OK, 0 rows affected (0.03 sec)
SET @title = 'TiDB Developer Guide';
SET @type = 'Science & Technology';
SET @stock = 100;
SET @price = 0.0;
SET @published_at = NOW();
実行結果:
Query OK, 0 rows affected (0.04 sec)
EXECUTE `books_insert` USING @title, @type, @stock, @price, @published_at;
実行結果:
Query OK, 1 row affected (0.03 sec)
try (Connection connection = ds.getConnection()) {
String sql = "INSERT INTO `books` (`title`, `type`, `stock`, `price`, `published_at`) VALUES (?, ?, ?, ?, ?);";
PreparedStatement preparedStatement = connection.prepareStatement(sql);
preparedStatement.setString(1, "TiDB Developer Guide");
preparedStatement.setString(2, "Science & Technology");
preparedStatement.setInt(3, 100);
preparedStatement.setBigDecimal(4, new BigDecimal("0.0"));
preparedStatement.setTimestamp(5, new Timestamp(Calendar.getInstance().getTimeInMillis()));
preparedStatement.executeUpdate();
} catch (SQLException e) {
e.printStackTrace();
}
ご覧のとおり、JDBC は準備済みステートメントのライフサイクルを制御するのに役立ち、アプリケーションで準備済みステートメントを手動で作成、使用、または削除する必要はありません。ただし、TiDB は MySQL と互換性があるため、クライアント側で MySQL JDBCDriverを使用するためのデフォルトの構成は、サーバー側のプリペアドステートメントオプションを有効にするのではなく、クライアント側のプリペアドステートメントを使用することです。
次の構成は、JDBC で TiDB サーバー側の準備済みステートメントを使用するのに役立ちます。
| パラメータ | 意味 | 推奨シナリオ | 推奨Configuration / コンフィグレーション |
|---|---|---|---|
useServerPrepStmts | サーバー側を使用して準備済みステートメントを有効にするかどうか | プリペアドステートメントを複数回使用する必要がある場合 | true |
cachePrepStmts | クライアントが準備済みステートメントをキャッシュするかどうか | useServerPrepStmts=true時 | true |
prepStmtCacheSqlLimit | プリペアドステートメントの最大サイズ (デフォルトで 256 文字) | プリペアドステートメントが256文字を超える場合 | プリペアドステートメントの実際のサイズに従って構成されます |
prepStmtCacheSize | 準備済みステートメントの最大数 (デフォルトでは 25) | 準備済みステートメントの数が 25 を超える場合 | 準備されたステートメントの実際の数に従って構成されます |
以下は、JDBC 接続文字列構成の一般的なシナリオです。ホスト: 127.0.0.1 、ポート: 4000 、ユーザー名: root 、パスワード: null、デフォルト データベース: test :
jdbc:mysql://127.0.0.1:4000/test?user=root&useConfigs=maxPerformance&useServerPrepStmts=true&prepStmtCacheSqlLimit=2048&prepStmtCacheSize=256&rewriteBatchedStatements=true&allowMultiQueries=true
データを挿入するときに他の JDBC パラメータを変更する必要がある場合は、第行を挿入する章も参照してください。
Java での完全な例については、以下を参照してください。