java学习笔记—JDBC3(18)

可滚动的ResultSet

 要使用可滚动的结果集,必须使用不同于前面所定义的Statement:

//创建一个 Statement 对象,该对象将生成具有给定类型和并发性的 ResultSet 对象。

Statement stmt = conn.createStatement(type,concurrency);
   PreparedStatement stmt =
                   conn.prepareStatement(sql,type,concurrency)
12.1 ResultSet滚动的结果集
    next()
    previous()
    first()
    last()
    absolute()
    relative()
    beforeFirst()
    afterLast()
    isFirst()
    isLast()
    isBeforeFirst()
    isAfterLast()

13 PreparedStatement

PreparedStatement对象对数据库crud操作

l  可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象

l  PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句

l  PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值

14 Statement的不安全性  PreparedStatement  VS  Statement

l  SQL注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL引擎完成恶意行为的做法

l  用 PreparedStatement 取代 Statement 就可以解决

String username=“a or 1=1 or 1= ";
String psw="b";
String sql = "select count(*) from login where 
                username="+username+" and psw="+psw+"‘";
select count(*) from login where username=a  or 1=1 or 1=‘‘ and psw=b

技术分享

改进的方案:

技术分享

技术分享

14 sql注入

技术分享

15 PreparedStatement与statement比较

l  代码的可读性和可维护性.

l  PreparedStatement能保证安全性(解决sql注入问题)

l  PreparedStatement 能最大可能提高性能:

  • DBServer会对预编译语句提供性能优化。因为预编译语句有可能被重复调用,所以语句在被DBServer的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中就会得到执行。
  • 在statement语句中,即使是相同操作但因为数据内容不一样,所以整个语句本身不能匹配,没有缓存语句的意义.事实是没有数据库会对普通语句编译后的执行代码缓存.这样每执行一次都要对传入的语句编译一次. 

       对Mysql来说几乎没有区别,但对oracle数据库则非常明显

 

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。