Posts Tagged ‘ Oracle

Statement vs PreparedStatement

Quando frequentavo l’università mi chiedevo quale fosse effettivamente la differenza tra uno Statement e un PreparedStatement Java. Fondamentalmente mi permettevano di raggiungere lo stesso risultato in maniera lievemente diversa.

In realtà i due costrutti sono molto più diversi di quanto non si creda. Ogni comando SQL ricevuto dal DBMS viene elaborato seguendo 3 fasi:

  1. Compilazione (parsing del comando SQL);
  2. Esecuzione;
  3. Fetching (restituzione del risultato al client).

Supponendo che vengano eseguite molte operazioni, la classe PreparedStatement permette di eseguire il passo di compilazione una sola volta, la prima, e poi di aggiornarne i valori in seguito:

PreparedStatement pstmt = conn.prepareStatement(
         "SELECT * FROM TABELLA WHERE CAMPO = ?");
Iterator ricerca = lista.iterator();
while(ricerca.hasNext()){

   pstmt.setString(1, (String)ricerca.next());
   ResultSet rs = pstmt.executeQuery();

   while(rs.next()){
      //Get results
   }
   //...
}

Questo si concretizza in un miglioramento delle performance, generalmente. Ciò non è sempre vero, ci sono altri fattori che entrano in gioco che possono rendere uno Statement più veloce di un PreparedStatement. A mio avviso anche se fosse, una leggera diminuzione di performance (che dipende moltissimo dal database utilizzato) per il PreparedStatement è sicuramente ben accetta data la sua grande flessibilità. Non solo, dalle FAQ Oracle ho appreso anche che ci sono dei benefici in termini di sicurezza nell’utilizzo di PreparedStatement: il binding dei dati, infatti, eviterebbe un considerevole numero di attacchi di tipo SQL Injection. La FAQ infatti riporta:

“Statements may be slightly faster if you are only going to execute the SQL once. PreparedStatements are much faster when the SQL will be executed more than once. If you are using the statement cache, which you should, getting a statement from the cache is the same as executing the same statement.

In general we strongly recommend that you use PreparedStatements. This is especially true if you are sending user provided data in the SQL. By binding the data to a PreparedStatement parameter you can prevent most SQL injection attacks. Any performance advantage of using Statements is negligible.”

Insomma, per i miei gusti, non c’è motivo di usare Statement e PreparedStatement è la classe vincente.

2009
01/29
POSTED BY
CATEGORY
Development
Information Technology
TAGS




4 comments

Oracle 10g – Upsert

Recentemente mi è capitato di dover eseguire una insert or update, anche detta upsert, su Oracle 10g. Su MySQL ero solito usare la forma “INSERT … ON DUPLICATE KEY UPDATE …” che funziona piuttosto bene, ma che non era supportata dal database che stavo utilizzando.

La versione 10g di Oracle, però, supporta l’operazione “MERGE”, entrata a far parte dello standard SQL nel 2003, e si è rivelata molto comoda utilizzandola tramite JDBC.

Supponiamo di dover memorizzare in una tabella l’ultima pagina visitata da un utente in un dato giorno, possiamo utilizzare il seguente prepared statement java:

PreparedStatement pstmt = conn.prepareStatement(
"MERGE INTO last_page_table dst "+
   "USING ( "+
"SELECT \'"+username+"\' USER_ID, "+
   "TO_DATE(\'"+
      new java.sql.Date(System.currentTimeMillis())+
   "\'YYYY-MM-DD')  DATE_FIELD, "+
   "\'"+lastPage+"\' LAST_PAGE "+
"FROM DUAL) src "+
   "ON (dst.USER_ID = src.USER_ID AND "+
      "dst.DATE_FIELD = src.DATE_FIELD) "+
"WHEN MATCHED THEN "+
   "UPDATE SET dst.LAST_PAGE = src.LAST_PAGE "+
"WHEN NOT MATCHED THEN "+
   "INSERT (dst.USER_ID, "+
      "dst.DATE_FIELD, "+
      "dst.LAST_PAGE) "+
  "VALUES (src.USER_ID, "+
      "src.DATE_FIELD, "+
      "src.LAST_PAGE)");

In sostanza, l’operazione “MERGE” funziona tra tabelle, prende i valori di una e li inserisce o aggiorna nell’altra in base al matching della condizione nella clausola “ON”.
Tuttavia, la necessità non era di utilizzare valori preesistenti di una tabella ed inserirli o aggiornarli nell’altra, ma l’effettivo popolamento della tabella. Esigenza risolta appoggiandosi alla tabella “DUAL”.
Ovviamente, invece di inserire direttamente nella stringa i valori necessari, si poteva utilizzare anche il ‘?’ e chiamare poi le funzioni della classe PreparedStatement.

PreparedStatement pstmt = conn.prepareStatement(
"MERGE INTO last_page_table dst "+
   "USING ( "+
"SELECT ? USER_ID, ?  DATE_FIELD, ? LAST_PAGE "+
   "FROM DUAL) src "+
   "ON (dst.USER_ID = src.USER_ID AND "+
      "dst.DATE_FIELD = src.DATE_FIELD) "+
   "WHEN MATCHED THEN "+
      "UPDATE SET dst.LAST_PAGE = src.LAST_PAGE "+
   "WHEN NOT MATCHED THEN "+
      "INSERT (dst.USER_ID, "+
         "dst.DATE_FIELD, "+
         "dst.LAST_PAGE) "+
      "VALUES (src.USER_ID, "+
         "src.DATE_FIELD, "+
         "src.LAST_PAGE)");

Se non vi sono particolari necessità in termini di performance, sicurezza, flessibilità, in genere preferisco inserire tutto direttamente nella stringa in modo da poterla scrivere facilmente su un file di log prima di inviarla al driver:

String sqlMerge = "MERGE INTO ...";
PreparedStatement pstmt = conn.prepareStatement(sqlMerge);
logger.debug("Executing "+sqlMerge);
pstmt.executeUpdate();

2009
01/20
POSTED BY
CATEGORY
Database
Development
Information Technology
TAGS



Write comment

Last.fm

Questo sito non può considerarsi prodotto editoriale sottoposto alla disciplina di cui all'art. 1, comma III della Legge n. 62 del 7 marzo 2001, non rappresenta una testata giornalistica e non viene aggiornato con periodicità.
Creative Commons License
Questo/a opera è pubblicato sotto una Licenza Creative Commons.

Tutti i marchi riportati direttamente o indirettamente appartengono ai legittimi proprietari. Le fotografie, quando possibile, riportano l'autore a cui spettano i diritti a riguardo.