106

如何在 Android 的 SQlite 中使用准备好的语句?

4

5 回答 5

180

对于 Android 中准备好的 SQLite 语句,有SQLiteStatement。准备好的语句可以帮助您提高性能(尤其是对于需要多次执行的语句),还可以帮助避免注入攻击。有关准备好的语句的一般性讨论,请参阅本文

SQLiteStatement旨在与不返回多个值的 SQL 语句一起使用。(这意味着您不会将它们用于大多数查询。)以下是一些示例:

创建表

String sql = "CREATE TABLE table_name (column_1 INTEGER PRIMARY KEY, column_2 TEXT)";
SQLiteStatement stmt = db.compileStatement(sql);
stmt.execute();

execute()方法不返回值,因此适合与 CREATE 和 DROP 一起使用,但不适合与 SELECT、INSERT、DELETE 和 UPDATE 一起使用,因为这些返回值。(但请参阅这个问题。)

插入值

String sql = "INSERT INTO table_name (column_1, column_2) VALUES (57, 'hello')";
SQLiteStatement statement = db.compileStatement(sql);
long rowId = statement.executeInsert();

请注意,使用的executeInsert()是方法而不是execute(). 当然,您不希望总是在每一行中输入相同的内容。为此,您可以使用bindings

String sql = "INSERT INTO table_name (column_1, column_2) VALUES (?, ?)";
SQLiteStatement statement = db.compileStatement(sql);

int intValue = 57;
String stringValue = "hello";

statement.bindLong(1, intValue); // 1-based: matches first '?' in sql string
statement.bindString(2, stringValue);  // matches second '?' in sql string

long rowId = statement.executeInsert();

通常,当您想多次快速重复某事(如 INSERT)时,您会使用准备好的语句。准备好的语句使得 SQL 语句不必每次都被解析和编译。您可以通过使用transactions来加快速度。这允许一次应用所有更改。这是一个例子:

String stringValue = "hello";
try {

    db.beginTransaction();
    String sql = "INSERT INTO table_name (column_1, column_2) VALUES (?, ?)";
    SQLiteStatement statement = db.compileStatement(sql);

    for (int i = 0; i < 1000; i++) {
        statement.clearBindings();
        statement.bindLong(1, i);
        statement.bindString(2, stringValue + i);
        statement.executeInsert();
    }

    db.setTransactionSuccessful(); // This commits the transaction if there were no exceptions

} catch (Exception e) {
    Log.w("Exception:", e);
} finally {
    db.endTransaction();
}

查看这些链接以获取有关事务和加速数据库插入的更多信息。

更新行

这是一个基本的例子。您还可以应用上一节中的概念。

String sql = "UPDATE table_name SET column_2=? WHERE column_1=?";
SQLiteStatement statement = db.compileStatement(sql);

int id = 7;
String stringValue = "hi there";

statement.bindString(1, stringValue);
statement.bindLong(2, id);

int numberOfRowsAffected = statement.executeUpdateDelete();

删除行

executeUpdateDelete()方法也可用于 DELETE 语句,并在 API 11 中引入。请参阅此 Q&A

这是一个例子。

try {

    db.beginTransaction();
    String sql = "DELETE FROM " + table_name +
            " WHERE " + column_1 + " = ?";
    SQLiteStatement statement = db.compileStatement(sql);

    for (Long id : words) {
        statement.clearBindings();
        statement.bindLong(1, id);
        statement.executeUpdateDelete();
    }

    db.setTransactionSuccessful();

} catch (SQLException e) {
    Log.w("Exception:", e);
} finally {
    db.endTransaction();
}

询问

通常,当您运行查询时,您希望返回包含大量行的游标。不过,这不是SQLiteStatement目的。除非您只需要一个简单的结果,例如数据库中的行数,否则您不会使用它运行查询,您可以使用simpleQueryForLong()

String sql = "SELECT COUNT(*) FROM table_name";
SQLiteStatement statement = db.compileStatement(sql);
long result = statement.simpleQueryForLong();

通常你会运行SQLiteDatabasequery()的方法来获取游标。

SQLiteDatabase db = dbHelper.getReadableDatabase();
String table = "table_name";
String[] columnsToReturn = { "column_1", "column_2" };
String selection = "column_1 =?";
String[] selectionArgs = { someValue }; // matched to "?" in selection
Cursor dbCursor = db.query(table, columnsToReturn, selection, selectionArgs, null, null, null);

有关查询的更多详细信息,请参阅此答案

于 2015-04-22T12:13:21.097 回答
24

我一直在 Android 中使用准备好的语句,这很简单:

SQLiteDatabase db = dbHelper.getWritableDatabase();
SQLiteStatement stmt = db.compileStatement("INSERT INTO Country (code) VALUES (?)");
stmt.bindString(1, "US");
stmt.executeInsert();
于 2009-01-12T17:12:21.640 回答
23

如果您想要返回光标,那么您可能会考虑这样的事情:

SQLiteDatabase db = dbHelper.getWritableDatabase();

public Cursor fetchByCountryCode(String strCountryCode)
{
    /**
     * SELECT * FROM Country
     *      WHERE code = US
     */
    return cursor = db.query(true, 
        "Country",                        /**< Table name. */
        null,                             /**< All the fields that you want the 
                                                cursor to contain; null means all.*/
        "code=?",                         /**< WHERE statement without the WHERE clause. */
        new String[] { strCountryCode },    /**< Selection arguments. */
        null, null, null, null);
}

/** Fill a cursor with the results. */
Cursor c = fetchByCountryCode("US");

/** Retrieve data from the fields. */
String strCountryCode = c.getString(cursor.getColumnIndex("code"));

/** Assuming that you have a field/column with the name "country_name" */
String strCountryName = c.getString(cursor.getColumnIndex("country_name"));

如果您想要更完整的片段,请参阅此片段Genscripts 。请注意,这是一个参数化的 SQL 查询,因此本质上它是一个准备好的语句。

于 2010-09-03T14:55:40.830 回答
9

jasonhudgins 示例不起作用。您无法执行查询stmt.execute()并返回值(或 a Cursor)。

您只能预编译根本不返回行(例如插入或创建表语句)或单个行和列(并使用simpleQueryForLong()or simpleQueryForString())的语句。

于 2010-06-06T09:15:24.650 回答
1

要获取游标,您不能使用已编译的语句。但是,如果您想使用完整的准备好的 SQL 语句,我建议改编 jbaez 的方法...使用db.rawQuery()而不是db.query().

于 2010-10-14T18:58:00.150 回答