JDBC中Statement與PreparedStatement的區別

1. statement每次執行sql語句，相關數據庫都要執行sql語句的編譯；preparedstatement是預編譯的, 采用Cache機制（預編譯語句，放在Cache中，下次執行相同SQL語句時，則可以直接從Cache中取出來，有利于sql生成查詢計劃。），對于批量處理可以大大提高效率. 也叫JDBC存儲過程。

例如，如果要執行兩條sql語句

SELECT colume FROM TABLE WHERE colume=1;
SELECT colume FROM TABLE WHERE colume=2;

會生成兩個執行計劃

一千個查詢就生成一千個執行計劃！

PreparedStatement用于使用綁定變量重用執行計劃

SELECT colume FROM TABLE WHERE colume=:x;

通過set不同數據只需要生成一次執行計劃，可以重用

是否使用綁定變量對系統影響非常大，生成執行計劃極為消耗資源

兩種實現 速度差距可能成百上千倍

后者使用了PreparedStatement對象，而前者是普通的Statement對象。PreparedStatement對象不僅包含了SQL語句，而且大多數情況下這個語句已經被預編譯過，因而當其執行時，只需DBMS運行SQL語句，而不必先編譯。當你需要執行Statement對象多次的時候，PreparedStatement對象將會大大降低運行時間，當然也加快了訪問數據庫的速度。

這種轉換也給你帶來很大的便利，不必重復SQL語句的句法，而只需更改其中變量的值，便可重新執行SQL語句。選擇PreparedStatement對象與否，在于相同句法的SQL語句是否執行了多次，而且兩次之間的差別僅僅是變量的不同。如果僅僅執行了一次的話，在對數據庫只執行一次性存取的時侯，用 Statement 對象進行處理，PreparedStatement 對象的開銷比Statement大，對于一次性操作并不會帶來額外的好處。

2. PrepareStatement中執行的SQL語句中是可以帶參數的，也就是說可以替換變量，盡量采用使用？號的方式傳遞參數，增加代碼的可讀性又可以預編譯加速；而Statement則不可以。

3. 防止SQL注入。在SQL中包含特殊字符或SQL的關鍵字(如：’ or 1 or ‘)時，Statement將出現不可預料的結果（出現異常或查詢的結果不正確），可用PreparedStatement來解決。

C:\>netstat -aon|findstr "9050"

TCP    127.0.0.1:9050         0.0.0.0:0              LISTENING       2016

C:\>tasklist|findstr "2016"

tor.exe                     2016 Console                 0     16,064 K

    windows os: exp username/"""password"""@devdb --3個雙引號擴密碼

    linux/unix os: exp 'username/"password"@devdb' --1個雙引號擴密碼，1個單引號擴全部

    實驗結果如下：
1.創建帶有特殊字符密碼的用戶
C:\Documents and Settings\Home>sqlplus /nolog
SQL*Plus: Release 10.2.0.1.0 - Production on 星期四 5月 7 17:37:36 2009
Copyright (c) 1982, 2005, Oracle.  All rights reserved.
SQL> connsys/oracle@devdbas sysdba
已連接。
SQL> create user exp identified by "12345!@#$%";
用戶已創建。
SQL> grant connect, resource to exp;
授權成功。
SQL> conn exp/"12345!@#$%"@devdb2
已連接。
SQL> create table table1 as select * from dual;
表已創建。
SQL> exit
2.windows os導出測試
C:\Documents and Settings\Home>expexp/12345!@#$%@devdbfile=c:\exp.dmp wner=exp
Export: Release 9.2.0.1.0 - Production on 星期四 5月 7 17:39:42 2009
Copyright (c) 1982, 2002, Oracle Corporation.  All rights reserved.
EXP-00056: 遇到 ORACLE 錯誤 12154
ORA-12154: TNS: 無法處理服務名
EXP-00000: 導出終止失敗
C:\Documents and Settings\Home>exp exp/"12345!@#$%"@devdb2file=c:\exp.dmp wner=exp
Export: Release 9.2.0.1.0 - Production on 星期四 5月 7 17:39:57 2009
Copyright (c) 1982, 2002, Oracle Corporation.  All rights reserved.
EXP-00056: 遇到 ORACLE 錯誤 12154
ORA-12154: TNS: 無法處理服務名
EXP-00000: 導出終止失敗
C:\Documents and Settings\Home>exp exp/"""12345!@#$%"""@devdb2file=c:\exp.dmp wner=exp
Export: Release 9.2.0.1.0 - Production on 星期四 5月 7 17:41:54 2009
Copyright (c) 1982, 2002, Oracle Corporation.  All rights reserved.
連接到: Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - Production
With the Partitioning, Real Application Clusters, OLAP, Data Mining
and Real Application Testing options
已導出 ZHS16GBK 字符集和 AL16UTF16 NCHAR 字符集
. 正在導出 pre-schema 過程對象和操作
. 正在導出用戶 EXP 的外部函數庫名稱
. 導出 PUBLIC 類型同義詞
. 導出私有類型同義詞
. 正在導出用戶 EXP 的對象類型定義
即將導出 EXP 的對象 ...
. 正在導出數據庫鏈接
. 正在導出序號
. 正在導出群集定義
. 即將導出 EXP 的表通過常規路徑 ...
. . 正在導出表                          TABLE1          1 行被導出
. 正在導出同義詞
. 正在導出視圖
. 正在導出存儲的過程
. 正在導出運算符
. 正在導出引用完整性約束條件
. 正在導出觸發器
. 正在導出索引類型
. 正在導出位圖, 功能性索引和可擴展索引
. 正在導出后期表活動
. 正在導出實體化視圖
. 正在導出快照日志
. 正在導出作業隊列
. 正在導出刷新組和子組
. 正在導出維
. 正在導出 post-schema 過程對象和操作
. 正在導出統計
在沒有警告的情況下成功終止導出。

3.linux/unix os導出測試
[oracle@rac2 ~]$ expexp/12345!@#$%@devdbfile=./exp.dmp wner=exp
-bash:!@#$%@devdb: event not found
[oracle@rac2 ~]$ exp exp/"""12345!@#$%"""@devdbfile=./exp.dmp wner=exp
-bash:!@#$%"""@devdb: event not found
[oracle@rac2 ~]$exp 'exp/"12345!@#$%"@devdb'file=./exp.dmp wner=exp 
Export: Release 10.2.0.4.0 - Production on Thu May 7 19:21:32 2009 
Copyright (c) 1982, 2007, Oracle.  All rights reserved. 
Connected to: Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - Production
With the Partitioning, Real Application Clusters, OLAP, Data Mining
and Real Application Testing options
Export done in US7ASCII character set and AL16UTF16 NCHAR character set
server uses ZHS16GBK character set (possible charset conversion)
. exporting pre-schema procedural objects and actions
. exporting foreign function library names for user EXP
. exporting PUBLIC type synonyms
. exporting private type synonyms
. exporting object type definitions for user EXP
About to export EXP's objects ...
. exporting database links
. exporting sequence numbers
. exporting cluster definitions
. about to export EXP's tables via Conventional Path ...
. . exporting table                         TABLE1          1 rows exported
. exporting synonyms
. exporting views
. exporting stored procedures
. exporting operators
. exporting referential integrity constraints
. exporting triggers
. exporting indextypes
. exporting bitmap, functional and extensible indexes
. exporting posttables actions
. exporting materialized views
. exporting snapshot logs
. exporting job queues
. exporting refresh groups and children
. exporting dimensions
. exporting post-schema procedural objects and actions
. exporting statistics
Export terminated successfully without warnings.

一，什么是Servlet？

Servlet是一個Java編寫的程序，此程序是基于Http協議的，在服務器端運行的(如tomcat)，

是按照Servlet規范編寫的一個Java類。

二，Servlet有什么作用？

主要是處理客戶端的請求并將其結果發送到客戶端。

三，Servlet的生命周期？

Servlet的生命周期是由Servlet的容器來控制的，它可以分為3個階段;初始化，運行，銷毀。

初始化階段：

1，Servlet容器加載servlet類，把servlet類的.class文件中的數據讀到內存中。

2，然后Servlet容器創建一個ServletConfig對象。ServletConfig對象包含了Servlet的初始化配置信息。

3，Servlet容器創建一個servlet對象。

4，Servlet容器調用servlet對象的init方法進行初始化。

運行階段：

當servlet容器接收到一個請求時，servlet容器會針對這個請求創建servletRequest和servletResponse對象。

然后調用service方法。并把這兩個參數傳遞給service方法。Service方法通過servletRequest對象獲得請求的

信息。并處理該請求。再通過servletResponse對象生成這個請求的響應結果。然后銷毀servletRequest和

servletResponse對象。我們不管這個請求是post提交的還是get提交的，最終這個請求都會由service方法來處理。

銷毀階段：

當Web應用被終止時，servlet容器會先調用servlet對象的destrory方法，然后再銷毀servlet對象，

同時也會銷毀與servlet對象相關聯的servletConfig對象。我們可以在destroy方法的實現中，釋放

servlet所占用的資源，如關閉數據庫連接，關閉文件輸入輸出流等。

在這里該注意的地方：

在servlet生命周期中，servlet的初始化和和銷毀階段只會發生一次，而service方法執行的次數則取決于servlet被客戶

端訪問的次數

四，Servlet怎么處理一個請求？

當用戶發送一個請求到某個Servlet的時候，Servlet容器會創建一個ServletRequst和ServletResponse對象。

在ServletRequst對象中封裝了用戶的請求信息，然后Servlet容器把ServletRequst和ServletResponse對象

傳給用戶所請求的Servlet，Servlet把處理好的結果寫在ServletResponse中，然后Servlet容器把響應結果傳

給用戶。

五，Servlet與JSP有什么區別？

1，jsp經編譯后就是servlet，也可以說jsp等于servlet。

2，jsp更擅長頁面(表現)。servlet更擅長邏輯編輯。 (最核心的區別)。

3，在實際應用中采用Servlet來控制業務流程,而采用JSP來生成動態網頁.在struts框架中,

JSP位于MVC設計模式的視圖層,而Servlet位于控制層。

六，Servlet里的cookie技術？

cookies是一種WEB服務器通過瀏覽器在訪問者的硬盤上存儲信息的手段，是由Netscape公司開發出來的。

cookie技術的好處：

    1，Cookie有效期限未到時，Cookie能使用戶在不鍵入密碼和用戶名的情況下進入曾經瀏覽過的一些站點。

    2，Cookie能使站點跟蹤特定訪問者的訪問次數、最后訪問時間和訪問者進入站點的路徑。
   
創建一個cookie

Java代碼  

1. //里面的兩個參數分別是cookie的名和cookie的值  
2.   
3. response.addCookie(new Cookie("abc","10000000"));  

使用cookie

Java代碼  

1. Cookie[] cook =request.getCookies();//用一個Cookie數組來接收  
2.   
3. for(int j=0;j<cook.length;j++){//通過循環來打印Cookie  
4.   
5.         cook[j].getName()://取cookie的名    
6.         cook[j].getValue()://去cookie的值  
7.   
8. }  

七，Servlet里的過濾器？

過濾器的主要作用

1，任何系統或網站都要判斷用戶是否登錄。

2，網絡聊天系統或論壇，功能是過濾非法文字

3，統一解決編碼

(2)怎么創建一個過濾器：

1，生成一個普通的class類，實現Filter接口(javax.servlet.Filter;)。

2，重寫接口里面的三個方法：init，doFilter，destroy。

3，然后在web.xml配置過濾器。

八，Servlet里的監聽器？

監聽器的作用：自動執行一些操作。

三種servlet監聽器:

對request的監聽。對session的監聽。對application的監聽。

怎么創建一個session監聽器：

1，生成一個普通的class類，如果是對session的監聽，則實現HttpSessionListener。

2，然后重寫里面的五個方法:

Java代碼  

1. public void sessionCreated(HttpSessionEvent arg0) {} // 創建  
2.   
3. public void sessionDestroyed(HttpSessionEvent arg0) {} // 銷毀  
4.   
5. public void attributeAdded(HttpSessionEvent arg0) {} // 增加  
6.   
7. public void attributeRemoved(HttpSessionEvent arg0) {} // 刪除  
8.   
9. public void attributeReplaced(HttpSessionEvent arg0) {} // 替換 
   

板橋里人 http://www.jdon.com 2006/1/2（轉載請保留）

　　這是一個實戰中非常重要但是容易被忽視的概念，說它重要，是因為它比數據庫重要；說它容易被忽視也是同樣的原因，它經常被數據庫概念替代。

　　如果你經驗和經歷中沒有狀態這個概念，極端地說：可能你的Java系統經驗還未積累到一定程度，狀態是每個Java程序員深入Java系統后必然碰到的問題。

　　本文我想試圖表達的是：狀態分兩種：活動的狀態對象和持久化的狀態。而數據庫中的數據只是狀態的一種持久化結果，而Java系統 運行時，我們更多的可能是和一種活動的狀態打交道，這種活動的狀態存在內存中，而不是持久化到硬盤上，當然，需要時你可以通過數據庫/文件持久化到硬盤上。

　　但是，如果你以數據庫數據替代狀態，那么就可能導致數據庫的頻繁訪問，而且 你的系統會變成一個非對象化的、緊耦合、到處是分散數據塊的糟糕系統。這樣的系統并不比傳統的兩層結構好到哪里！也不會比Jsp里嵌入Java代碼偽三層系統高明到什么地方。

什么是狀態？

　　只要有對象就可能有狀態，任何一個對象活動時，都有自己的狀態屬性，類的 字段屬性極有可能成為狀態，我們現在經常使用的Domain model其實就是一種 包含狀態的對象，如果你對狀態沒有深入掌握，就不可能真正掌握對象系統特點，或者是Domain Model的執行情況。

　　對于初學者，經常會疑問：我是將數據放在HttpSession中還是Request中，這里 其實已經開始接觸狀態，一旦你接觸狀態，你就要開始小心，因為你可能會將內存泄漏的惡魔導引進來。

　　內存泄漏的惡魔爆發時刻取決于你狀態的生存周期和系統并發訪問量。

　　狀態的生存周期也就是包含這個狀態的對象的生命周期，在簡單系統中，我們只 需要通過new創建對象，然后它的消亡就會依靠JVM垃圾回收機制回收，但是事情會這么簡單嗎？

　　狀態的危險還會發生在多線程環境下，當多個線程對同一個內存中狀態寫操作時，這時怎么辦？如果這個狀 態持久化在數據庫中，我們會依賴數據庫提供的強大事務機制防止這種并發死鎖，但是如果是在內存中，你就很難辦，因此，我們就盡量避免發生這種多線程同時訪 問一個狀態的現象，而Singleton單例模式極容易發生這種現象，因此實踐中，單例模式是J2EE開發中需要避免的，相關帖子討論見：
http://www.jdon.com/jive/article.jsp?forum=91&thread=17578

　　我們接觸的Web容器或Jsp/Servlet本質就是一個多線程，這也是很多初學者不知道的， 因為多線程編程是復雜或困難的，因此才有jsp/Servlet這樣的上層封裝，但是我們使用他們
時，實際在進行多線程編程。

　　生命周期和多線程并發使得我們簡單的面向對象系統變得異常復雜和難以掌握起來。下面我從這個兩個角度，給出兩種模式思維解決之道。

生命周期(Scope)

　　生命周期(Scope)就是指狀態的活動周期，狀態對象是什么時候被創建；然后什么時候被銷毀，很顯然，如果狀態對象還沒有被創建或已經被銷毀，你再 訪問這個狀態對象可能失敗，而狀態的生命周期控制是可能散落在運行程序的各個地方，如果不象狀態模式那樣進行統一控制，有可能整個系統是危機四伏的。

　　狀態的生命周期其實就是對象生命周期，更加細化地說：是Domain Model這個對象的生命周期。這在一個以領域模型為驅動的設計概念中不可回避的課題，而領域模型實戰的復雜性就復雜在此。

　　狀態的生命周期在J2EE中目前有三種：Request/Session和 Application，Request是每個客戶端發出的一次請求，這是J2EE系統中最基本的事件激活單元， 當服務器端推出一個頁面到客戶端時，意味著這個Request的結束。那么如果我們的狀態保存在Request中，意味著在request結束之前，這個 請求經歷的任何一個環節都可以對這個狀態（對象）進行操作。（掌握這個原理，對于你學習Struts和JSF很有幫助）

　　如果是Session，則一直和該客戶端有關，只要是該客戶端發出的每次request的任何環節都可以對這個狀態（對象）進行操作。

　　如果是Application，則意味著這個狀態是當前Web項目的全局狀態。

　　這三種狀態形式都是以將狀態保存在內存中形式存在的，是和持久化狀態相對的。是一種內存活動狀態。

　　生命周期的選取當然是越短越好，這樣，這個狀態對象就可以被自動銷毀，從而避免了
大訪問量下的內存泄漏，但是在大訪問量下，對象頻繁創建和銷毀是耗費性能的。

　　那么，我們可能經常使用HttpSession來保存狀態，這時你極有可能造成內存泄漏，我經常在 Jdon論壇上看到將很多數據庫數據暫時保存在HttpSession中想法，這是相當危險的，因為一旦并發用戶很多，相當多的HttpSession包 含了狀態，而狀態中有可能有更多其他引用，因此內存很快會爆滿，或者垃圾回收機制頻繁啟動，造成應用系統運行暫?；蚓徛?/p>

　　當你將狀態放入HttpSession時，難道沒有考慮將其手工消除嗎？你要知道所有Web容器 （Tomcat/Weblogic等）都不會自動替你清除那些你可能不用的狀態對象啊。如果每個人只管新增元素，不管重整或管理，這個系統能不變得混亂 嗎？代碼上這種現象我們是通過Refactoring等結構/行為模式來解決，那么在運行時的狀態管理呢？

　　狀態管理模式或者說對象管理模式正是解決這種問題的。

　　 按照該模式，你必須手工自己管理放在HttpSession的狀態，比如你為每個HttpSession
設立一個狀態容器最大尺寸，當超過這個尺寸時，你需要將不用的狀態從容器去除， 但是如果這個客戶端在Session失效期內又來訪問這個狀態怎么辦？那么你可能需要先臨時將狀態序列化保存到硬盤上，等Session失效期到達后再真正刪除。

　　是不是覺得很麻煩？
　　捷徑是有：
　　1. 盡量少使用HttpSession保存狀態，這對集群環境也是有利的，見該貼討論：
http://www.jdon.com/jive/article.jsp?forum=121&thread=22282
那么這些狀態放在哪里？使用Application的緩存中，

　　2. 使用狀態管理中間件，目前有幾個選擇：EJB的有態Bean；NanoContainer之類狀態相關的微容器。那么Spring可以嗎？目前沒有發現有 該功能，甚至在Spring容器內無法直接使用Session性質的狀態，只能通過線程級別的ThreadLocal來實現(對不起，你又要開始回到遠古 的匯編線程時代了)；而Jdon框架則可以。

　　下面我們談談Application的狀態，在這個范圍內，一個對象狀態可以被多個用戶反復訪問，在這個級別，狀態類似數據庫中數據，因為可以使用數據庫來替代這個級別的狀態，所以將狀態放入緩存這個深層次技術被大多數初學者忽視了，甚至產生了對數據庫依賴心理。

緩存中的狀態

　　雖然我們將狀態保存在Application中，但是我們不可避免還是遇到Session同樣的狀態管理問題，這個問題所幸的是有專門緩存中間件解決 了，當然，在一個多服務器集群系統，如果一個客戶端在一個服務器中存放了狀態，那么能否在另外一個服務器的內存中訪問到呢？回答是肯定的，前提是你必須使 用分布式緩存系統。

　　目前分布式緩存系統是靠EJB服務器完成，當JBoss 5在2006變成完全解耦、可肢解時，
我們就可以使用原本只支持EJB的JBoss分布式緩存系統來支持我們的普通JavaBeans了(POJO)。這其中目前可能會花費一些力氣，因為還沒有一個統一的POJO構件接口標準，我相信以后
可能會有。

　　如果你不想花費力氣，而且可能就只是一臺服務器，可以通過雙核芯片提升性能，那么單態緩存如果實現？很簡單，使用一個緩存產品如OsCache等，將其設定保存在 Application中，或者在web.xml中進行一下簡單的配置即可。

　　但是，這時你可能碰到另外一個問題：狀態的唯一標識，如何通過唯一標識從緩存中那么
多對象狀態中取出你要的那一個呢？比較瑣碎。

　　有沒有一個框架幫助你省卻這些麻煩，當然推薦Jdon Framework，只要將包含狀態的類（主要是Domain Model）繼承特定的類或接口（接口在1.4版本實現）即可，這個類的對象運行時就會被緩存或從緩存中讀取，再也無需你照料緩存了，就這么簡單。

　　當然，Jdon Framework的底層緩存器是可以被替代，使用你喜歡的緩存產品，因為jdon
Framework是基于Ioc設計，構件之間是完全解耦、可徹底肢解，能夠通過配置替代和更換的。
如果你不明白這個道理，需要好好研究一下Ioc模式帶給我們革命性的新變化。

　　從以上也可以看出：java復雜性還在于我們需要在編碼時，卻要想象其運行時的情形。而這種翻譯聯想沒有深厚的實踐功底，是很難順利完成的。

狀態管理中間件

　　自從J2EE開辟中間件時代以來，就有相當多的高級中間件提供與具體應用無關的通用功能，狀態管理中間件很早就有之，EJB的有態Session Bean是一個代表。

　　一個中間件不但要有良好的松耦合設計，我們暫時稱為靜態設計；更要有優秀的動態設計，例如狀態管理就屬于一種動態設計。

　　當然，如果你比較謙虛，不但要選擇一些靜態設計很好的框架或中間件；而且還要依賴一些擁有良好的動態運行管理的中間件。

　　EJB無論是EJB1.X/EJB2.X/EJB3.X.在狀態管理上要更加優秀，當然EJB3.X又吸收了優秀的靜態設計概念，但是因為需要有一個具體服務器實現過程，這個過程中存在一些陷阱，如In-Box問題等。

　　Spring無疑是一個靜態設計非常優秀框架，它一直在AOP上孜孜不倦，力圖探索一條從AOP角度進行動態運行管理干預捷徑，相信會有驚人結果，當然，這種細粒度的AOP需要實踐檢驗，當然如果整入JDK 6.0就更好。

　　而Jdon Framework則試圖在目前兩者之間尋求了一個平衡，既有Ioc/AOP優秀的靜態設計，雖然在AOP上不及Spring前衛；但提供了切實Session和Cache狀態管理；

　　如果你不需要EJB的分布式多服務器集群功能；又不是AOP的超級粉絲，無疑使用Jdon Framework之類的框架無疑是簡化方便的。

狀態設計的難點

　　最后，我不得不重申，并不是有了良好的狀態管理框架就可以高枕無憂了，狀態的設計其實是我們每個項目必須面臨的可變課題，如果狀態復雜了可以使用狀態模式對付，可惜往往狀態不夠復雜。

　　一個對象本身屬性和狀態是應該耦合在一起，還是進行分離，屬性和狀態沒有明顯的涇渭分明的界限，我們舉一個例子：

　　論壇Forum這個對象，它有一些字段屬性，如論壇名稱、論壇描述，還有其他一些相關屬性：如該論壇 的最新發帖；該論壇的發貼量，后兩者好像也是論壇字段，但是他們可能經常變化的，應該屬于狀態，那么狀態和Forum這個主體對象是什么關系？是將該論壇 的最新發帖和該論壇的發貼量兩個字段并入Forum這個Domain Model中，還是應該單獨建立一個狀態對象？如果進行分離，分離的依據是什么？

　　當然，這里分離的依據是因為對象的生存周期不同。對于我們熟悉的課題，我們能夠馬上分辨出其中的生存周期，如果是不熟悉領域的建模呢？

　　所以，大家已經明白：狀態設計的難點是：如何粒度細化地創建模型對象；然后分辨出其中動態的狀態性質。這是域建模實戰中一個難點。

　　很多人問我：你提倡的域建模、設計模式和框架是什么意思？為什么說他們是Java開發設計的三件寶呢？或者說三個典型知識點呢？我想通過本篇我已經通過狀態這個概念稍微解釋了域建模的一些特點。

(1) 訪問流程:

(1.1) 系統運行在某web容器,如Tomcat(其運行和weblogic不同,Tomcat只有一個進程).

      其預設有初始的線程數.

(1.2) 瀏覽器打開某網站,網站及給其分配一個sessionID(頁面隱式的發起request, 由Tomcat

      某個特定的監聽線程給予response一個sessionid). 該sessionid用以識別本次訪問.

(1.3) 用戶點擊登錄/注冊, 瀏覽器發起一個新的request, 由Tomcat線程池中空閑的線程進行

       處理. 反饋結果于前臺展現.如線程池中線程不足,則Tomcat每次按照一定規則創建出更多的空閑線程(其初始值,增加值,及最大值依據配置文件/JDK/硬件).

最近在做登錄和權限控制模塊，用到了session，發現session的好多方法都不熟悉，而且以前也聽說過JsessionId 之類session竊取的事，

對這些一直都是一知半解。今天索性google了很多資料，先上sun的官網去看session的文檔了解一些方法，又找了別人關于session的看法。

總結如下：

      1，session是什么？  what

          session經常譯為會話，以打電話為例，從開始撥號到掛斷電話就是你會話的生存周期。

      2，session 做什么用的  why？

          首先舉個例子：

                咖啡店舉行 消費滿5杯咖啡贈送一杯的活動，可每個人一次消費5杯的時候非常少。這時候有3種辦法：

                1，店員看到每個顧客時都能記住其消費了多少杯，從而給其優惠，這是協議本身具有狀態

                2，給每個顧客一個卡片，上面記錄顧客的每次消費，這是客戶端保存狀態

                3，給每個顧客一個卡片，卡片上只有一個編號，顧客每次的消費記錄在店里，這就是 服務端有狀態

          而http本身是無狀態的，所以我們只能使用2，3中方法，來保存一些信息。

          實際采用的是第3種方法，服務器段保存一次會話所有的信息，并生成一個唯一的id，這個id沒有規律而且不會重復，將這個id傳回到客戶段，

保存到cookie中。每次訪問服務器時，客戶端都會偷偷將這個id傳到服務器，服務器根據id查到這次會話保存的內容。就能實現會話中共享一些數據。

     3，session怎樣創建和銷毀 ？ how

         session是保存在內存中的，所以會有一些性能上的影響。因此本著這個原則，session是只有在使用到的時候才會被創建，如果始終沒有用到

session，這個session是永遠不會被創建的。

        比如： 訪問servlet ，只要你代碼中沒有 request.getSession()或request.getSession(true);這兩行是等價的，那session是不會創建。

又 當你訪問靜態頁面時，根本不會生成servlet，所以也不會創建session。

       下面解釋一些疑惑： session是第一次請求時創建的？

  大家都知道 jsp是被編譯成servlet才執行的，問題就在jsp編譯的過程。

 jsp中有個<%@ page session="true/false"%> 這個開關表示是否創建session，當你不寫這行時，它會默認給你加上這句。所以會造成上面的疑惑。

當然還有一些標簽中可能有getSession()操作，會產生一些不必要的session。

       session只能在服務端銷毀，有三種途徑： 1，到達session的最大請求間隔時間時，2，session。invalidate()

 3,服務器進程當掉。

       這里也有一些疑惑： 瀏覽器關閉時，session就會注銷。

       首先瀏覽器關閉時，瀏覽器并沒有給服務器發送任何消息，所以服務器不會知道瀏覽器何時關閉了。

 上面我們知道取得session 是因為瀏覽器cookie中有sessionid，而普通cookie通常會是會話cookie，也就是說瀏覽器關閉時，這個cookie會被注銷，

所以當你再訪問服務器時就沒有sessionid了，所以造成session關閉了的假象，如果昵稱通過特殊方法將sessionid傳遞給服務器，你會發現session還在。

如果想讓cookie保存時間長一些，就需要手動指定cookie的過期時間

4，實際項目中的難點：

     1，瀏覽器禁用cookie

      這就沒辦法保存sessionid了，可以采用url重寫，轉發，加隱藏字段等方法來將sessionid傳給服務器。

     如：  baidu.com:jsessionid=adfasdfasdfasdfasdfafdadf?asdfasdf

             baidu.com?jsessionid=asdfasdfasdfadsfad&&adfdf

 這根據服務器的不同實現，第一種可以將普通參數區分開。

     2，多人共用session的問題

        例： a 訪問 baidu.com ,但他沒有帳號，于是他將連接 baidu.com/login.jsp?jsessionid=adsfasdfad（這個a的sessionid） 發給B, B登錄

后，a就相當于用b的帳號登錄了。你們可以在在本地試試。

        解決方法： 當發現通過sessionid從url指定時， 創建一個新的session，將舊session的信息復制到 新sessoin中，然后將新session注銷。

就能防止上面那種情況了。

    3，一個帳號多地方登錄

       比如： 你用abc帳號登錄了baidu.com,有打開了一個瀏覽器，又用abc帳號登錄了一次。當不設計敏感操作時，這無所謂，而當你做一些敏感操

作時就必須禁止這樣情況，防止同時操作，造成重復操作，或者數據損壞。

     解決方法： 監聽session，將username和sessionid對應起來，當username再次登錄時，注銷掉以前的session，保存現在的session，這也是

一種比較不錯的方案。

JNDI的一篇文章

前端時間總是在搞不清JNDI到底是干什么，雖然是一值在用，卻不知道他最初出現的原因，用來，說不清是用來干什么，下面我相信介能解開這個迷霧里。