<rt id="bn8ez"></rt>
<label id="bn8ez"></label>
  • 

    • <span id="bn8ez"></span>
    

    <label id="bn8ez"><meter id="bn8ez"></meter></label>
    

    
    

    




    




        


    

    
	
	


    
	
    
		yeshucheng
    
		追逐自己,追逐方向,心隨悟所動
	
    

    
    		
	

    

    


    
	
		
    
			


    
posts - 24,comments - 24,trackbacks - 0


    
	

    


    
	
					




    
	

	
			
			
    在JDBC應用中,如果你已經是稍有水平開發者,你就應該始終以PreparedStatement代替Statement.也就是說,在任何時候都不要使用Statement.
    
基于以下的原因:
    
一.代碼的可讀性和可維護性.
    
雖然用PreparedStatement來代替Statement會使代碼多出幾行,但這樣的代碼無論從可讀性還是可維護性上來說.都比直接用Statement的代碼高很多檔次:
    

    stmt.executeUpdate("insert into tb_name (col1,col2,col2,col4) values ('"+var1+"','"+var2+"',"+var3+",'"+var4+"')");
    

    perstmt = con.prepareStatement("insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)");
    
perstmt.setString(1,var1);
    
perstmt.setString(2,var2);
    
perstmt.setString(3,var3);
    
perstmt.setString(4,var4);
    
perstmt.executeUpdate();
    

    不用我多說,對于第一種方法.別說其他人去讀你的代碼,就是你自己過一段時間再去讀,都會覺得傷心.
    

    二.PreparedStatement盡最大可能提高性能.
    
每一種數據庫都會盡最大努力對預編譯語句提供最大的性能優化.因為預編譯語句有可能被重復調用.所以語句在被DB的編譯器編譯后的執行代碼被緩存下來,那么下次調用時只要是相同的預編譯語句就不需要編譯,只要將參數直接傳入編譯過的語句執行代碼中(相當于一個涵數)就會得到執行.這并不是說只有一個 Connection中多次執行的預編譯語句被緩存,而是對于整個DB中,只要預編譯的語句語法和緩存中匹配.那么在任何時候就可以不需要再次編譯而可以直接執行.而statement的語句中,即使是相同一操作,而由于每次操作的數據不同所以使整個語句相匹配的機會極小,幾乎不太可能匹配.比如:
    
insert into tb_name (col1,col2) values ('11','22');
    
insert into tb_name (col1,col2) values ('11','23');
    
即使是相同操作但因為數據內容不一樣,所以整個個語句本身不能匹配,沒有緩存語句的意義.事實是沒有數據庫會對普通語句編譯后的執行代碼緩存.這樣每執行一次都要對傳入的語句編譯一次.
    

    當然并不是所以預編譯語句都一定會被緩存,數據庫本身會用一種策略,比如使用頻度等因素來決定什么時候不再緩存已有的預編譯結果.以保存有更多的空間存儲新的預編譯語句.
    

    三.最重要的一點是極大地提高了安全性.
    

    即使到目前為止,仍有一些人連基本的惡義SQL語法都不知道.
    
String sql = "select * from tb_name where name= '"+varname+"' and passwd='"+varpasswd+"'";
    
如果我們把[' or '1' = '1]作為varpasswd傳入進來.用戶名隨意,看看會成為什么?
    

    select * from tb_name = '隨意' and passwd = '' or '1' = '1';
    
因為'1'='1'肯定成立,所以可以任何通過驗證.更有甚者:
    
把[';drop table tb_name;]作為varpasswd傳入進來,則:
    
select * from tb_name = '隨意' and passwd = '';drop table tb_name;有些數據庫是不會讓你成功的,但也有很多數據庫就可以使這些語句得到執行.
    

    而如果你使用預編譯語句.你傳入的任何內容就不會和原來的語句發生任何匹配的關系.(前提是數據庫本身支持預編譯,但上前可能沒有什么服務端數據庫不支持編譯了,只有少數的桌面數據庫,就是直接文件訪問的那些)只要全使用預編譯語句,你就用不著對傳入的數據做任何過慮.而如果使用普通的statement, 有可能要對drop,;等做費盡心機的判斷和過慮.
    

    上面的幾個原因,還不足讓你在任何時候都使用PreparedStatement嗎?
    

     
    

     
    

    有的新人可能此時對于用法還不太理解下面給個小例子
    

    Code Fragment 1:
    

    String updateString = "UPDATE COFFEES SET SALES = 75 " + "WHERE COF_NAME LIKE ′Colombian′"; 
    
stmt.executeUpdate(updateString);
    

    Code Fragment 2:
    

    PreparedStatement updateSales = con.prepareStatement("UPDATE COFFEES SET SALES = ? WHERE COF_NAME LIKE ? "); 
    
updateSales.setInt(1, 75); 
    
updateSales.setString(2, "Colombian"); 
    
updateSales.executeUpdate();
    

    set中的1對應第一個? 2對應第二個? 同時注意你set 的類型 是int還是string  哈哈很簡單吧
    


    

    

    原文出處:http://blog.csdn.net/spcusa/archive/2009/05/09/4164076.aspx
    

			
    posted @ 2010-12-14 13:58 葉澍成| 編輯 收藏
    
		

    

				

    



    
    
        
	



主站蜘蛛池模板:
爱情岛亚洲论坛在线观看|
亚洲va中文字幕无码久久|
国产精品亚洲自在线播放页码
|
亚洲精品理论电影在线观看|
2015日韩永久免费视频播放|
亚洲视频在线观看免费|
99久久综合精品免费|
亚洲白色白色永久观看|
久久精品国产免费观看|
亚洲最大无码中文字幕|
日韩免费一区二区三区|
日韩色日韩视频亚洲网站|
亚洲毛片不卡av在线播放一区|
一区二区三区免费视频网站|
国产亚洲精品国看不卡|
国产无遮挡无码视频免费软件|
久久国产精品亚洲一区二区|
2021精品国产品免费观看|
日韩亚洲不卡在线视频中文字幕在线观看|
国产免费的野战视频|
亚洲精品V天堂中文字幕|
亚洲伊人久久成综合人影院|
国产一精品一av一免费爽爽|
亚洲乱码一二三四区麻豆|
日韩毛片免费在线观看|
国产一级a毛一级a看免费人娇|
99久久精品国产亚洲|
在线播放免费播放av片|
色老头综合免费视频|
亚洲狠狠久久综合一区77777|
91在线视频免费91|
免费一级毛片在线播放视频免费观看永久|
亚洲人成无码网站久久99热国产|
国产一区二区免费|
亚洲色欲色欲www在线播放|
亚洲人成网站色在线入口|
全部免费毛片在线播放|
国产精品亚洲а∨无码播放不卡|
国产成人综合亚洲AV第一页|
2020久久精品国产免费|
美女黄频视频大全免费的|