JDBC使用预编译SQL的好处
Jimmy
posted @ 2012年3月18日 14:39
in JSP+MySQL
, 6328 阅读
1. 执行效率
PreparedStatement可以尽可能的提高访问数据库的性能,数据库在处理SQL语句时都有一个预编译的过程,而预编译对象就是把一些格式固定的SQL编译后,存放在内存池中即数据库缓冲池,当我们再次执行相同的SQL语句时就不需要预编译的过程了,只需DBMS运行SQL语句。所以当你需要执行Statement对象多次的时候,PreparedStatement对象将会大大降低运行时间,特别是的大型的数据库中,它可以有效的也加快了访问数据库的速度。
2. 代码可读性、可维护性
比如向记录用户信息的表中插入记录: user(id, password, name, email, address)。使用Statement的SQ语句如下:
String sqlString = "insert into user values('" +
user.id + "', '" +
user.password + "', '" +
user.name + "', '" +
user.email + "', '" +
user.address + "')";
使用PrearedStatement的SQL语句如下:
String sqlString = "insert into user(id, password, name, email, address) values(?, ?, ?, ?, ?)";
PreparedStatement pstmt = connection.PreparedStatement(sqlString);
pstmt.setString(1, user.id);
pstmt.setString(2, user.password);
pstmt.setString(3, user.name);
pstmt.setString(4, user.email);
pstmt.setString(5, user.address);
使用占位符?代替参数,将参数与SQL语句分离出来,这样就可以方便对程序的更改和延续,同样,也可以减少不必要的错误。
3. SQL执行的安全性
SQL注入攻击:是从客户端输入一些非法的特殊字符,从而使服务器端在构造SQL语句时仍能正确构造,从而收集程序和服务器的信息或数据。比如在Web信息系统的登录入口处,要求用户输入用户名和密码,客户端输入后,服务器端根据用户输入的信息来构造SQL语句,在数据库中查询是否存在此用户名以及密码是否正确。假设使用上述例子中的表“user”构造SQL语句的Java程序可能是:
sqlString = "select * from user where user.id = '" + userID + "' and user.password = "' + userPassword + "'";
其中userID, userPassword是从用户输入的用户名及密码。如果用户和密码输的都是 '1' or '1'='1',则服务器端生成的SQL语句如下:
sqlString = "select * from user where user.id = '1' or '1'='1' and user.password = '1' or '1'='1'
这个SQL语句中的where字句没有起到数据筛选的作用,因为只要数据库中有记录,就会返回一个结果不为空的记录集,查询就会通过。上面的例子说明:在Web环境中,有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序。特别是在公共Web站点上,在没有首先通过PreparedStatement对象处理的情况下,所有的用户输入都不应该传递给SQL语句。此外,在用户有机会修改SQL语句的地方,如HTML的隐藏区域或一个查询字符串上,SQL语句都不应该被显示出来。
2013年3月26日 17:35
<%=new Date() %>
2013年3月26日 17:37
<table>
src='<%=path %>/images/scroll_left.gif' class='forclose'
<table>