yeshucheng
          
		追逐自己,追逐方向,心隨悟所動
	
          

          
          		
	

          

          


          
	
		
          
			


          
posts - 24,comments - 24,trackbacks - 0


          
	

          


          
	
					


          
	
	
          在JDBC應用中,如果你已經是稍有水平開發者,你就應該始終以PreparedStatement代替Statement.也就是說,在任何時候都不要使用Statement.
          
基于以下的原因:
          
一.代碼的可讀性和可維護性.
          
雖然用PreparedStatement來代替Statement會使代碼多出幾行,但這樣的代碼無論從可讀性還是可維護性上來說.都比直接用Statement的代碼高很多檔次:
          

          stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");
          

          perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
          
perstmt.setString(1,var1);
          
perstmt.setString(2,var2);
          
perstmt.setString(3,var3);
          
perstmt.setString(4,var4);
          
perstmt.executeUpdate();
          

          不用我多說,對于第一種方法.別說其他人去讀你的代碼,就是你自己過一段時間再去讀,都會覺得傷心.
          

          二.PreparedStatement盡最大可能提高性能.
          
每一種數據庫都會盡最大努力對預編譯語句提供最大的性能優化.因為預編譯語句有可能被重復調用.所以語句在被DB的編譯器編譯后的執行代碼被緩存下來,那么下次調用時只要是相同的預編譯語句就不需要編譯,只要將參數直接傳入編譯過的語句執行代碼中(相當于一個涵數)就會得到執行.這并不是說只有一個 Connection中多次執行的預編譯語句被緩存,而是對于整個DB中,只要預編譯的語句語法和緩存中匹配.那么在任何時候就可以不需要再次編譯而可以直接執行.而statement的語句中,即使是相同一操作,而由于每次操作的數據不同所以使整個語句相匹配的機會極小,幾乎不太可能匹配.比如:
          
insert into tb_name (col1,col2) values ('11','22');
          
insert into tb_name (col1,col2) values ('11','23');
          
即使是相同操作但因為數據內容不一樣,所以整個個語句本身不能匹配,沒有緩存語句的意義.事實是沒有數據庫會對普通語句編譯后的執行代碼緩存.這樣每執行一次都要對傳入的語句編譯一次.
          

          當然并不是所以預編譯語句都一定會被緩存,數據庫本身會用一種策略,比如使用頻度等因素來決定什么時候不再緩存已有的預編譯結果.以保存有更多的空間存儲新的預編譯語句.
          

          三.最重要的一點是極大地提高了安全性.
          

          即使到目前為止,仍有一些人連基本的惡義SQL語法都不知道.
          
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
          
如果我們把[' or '1' = '1]作為varpasswd傳入進來.用戶名隨意,看看會成為什么?
          

          select * from tb_name = '隨意' and passwd = '' or '1' = '1';
          
因為'1'='1'肯定成立,所以可以任何通過驗證.更有甚者:
          
把[';drop table tb_name;]作為varpasswd傳入進來,則:
          
select * from tb_name = '隨意' and passwd = '';drop table tb_name;有些數據庫是不會讓你成功的,但也有很多數據庫就可以使這些語句得到執行.
          

          而如果你使用預編譯語句.你傳入的任何內容就不會和原來的語句發生任何匹配的關系.(前提是數據庫本身支持預編譯,但上前可能沒有什么服務端數據庫不支持編譯了,只有少數的桌面數據庫,就是直接文件訪問的那些)只要全使用預編譯語句,你就用不著對傳入的數據做任何過慮.而如果使用普通的statement, 有可能要對drop,;等做費盡心機的判斷和過慮.
          

          上面的幾個原因,還不足讓你在任何時候都使用PreparedStatement嗎?
          

           
          

           
          

          有的新人可能此時對于用法還不太理解下面給個小例子
          

          Code Fragment 1:
          

          String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′"; 
          
stmt.executeUpdate(updateString);
          

          Code Fragment 2:
          

          PreparedStatement updateSales = con.prepareStatement("UPDATE COFFEES SET SALES = ? WHERE COF_NAME LIKE ? "); 
          
updateSales.setInt(1, 75); 
          
updateSales.setString(2, "Colombian"); 
          
updateSales.executeUpdate();
          

          set中的1對應第一個? 2對應第二個? 同時注意你set 的類型 是int還是string  哈哈很簡單吧
          


          

          

          原文出處:http://blog.csdn.net/spcusa/archive/2009/05/09/4164076.aspx
          

	
          posted on 2010-12-14 13:58 葉澍成 閱讀(516) 評論(0)  編輯  收藏  所屬分類: 數據庫 
          

          







          
	    
    

          

				

          



    



          
        
	




主站蜘蛛池模板:
蓬安县|
江北区|
宜都市|
岳阳市|
资中县|
仁怀市|
仪征市|
定边县|
兰西县|
大冶市|
平原县|
玛多县|
闽侯县|
宜川县|
策勒县|
桦南县|
临澧县|
邻水|
巴东县|
嵩明县|
和林格尔县|
友谊县|
西平县|
万年县|
曲阜市|
济阳县|
乐亭县|
罗甸县|
尤溪县|
阿勒泰市|
南充市|
永嘉县|
南木林县|
汝城县|
钟山县|
离岛区|
南宫市|
长葛市|
苗栗县|
松溪县|
南江县|