想问下:
java里面:
1、
String cust_no="123456";
StringBuffer qry = new StringBuffer();
qry.append(" SELECT * ");
qry.append(" FROM TORDERDETAIL ");
qry.append(" where CUST_NO =? ");
pStmt = conn.prepareStatement(qry.toString());
pStmt.setString(1,cust_no);
rs = pStmt.executeQuery();
和
2、
String cust_no="123456";
StringBuffer qry = new StringBuffer();
qry.append(" SELECT * ");
qry.append(" FROM TORDERDETAIL ");
qry.append(" where CUST_NO ="+cust_no+" ");
pStmt = conn.prepareStatement(qry.toString());
rs = pStmt.executeQuery();
有什么本质的区别?
为什么一般都用2不用1,到底是为什么?
有人说是考虑sql注入安全问题什么的,请问下怎么个安全和不安全法?从哪些具体的方面考虑?
请大家帮忙解答一下,谢谢了!
PrepareStatement会以sql语句作为key把这个过程缓存起来。
你看1里面每次查询的sql语句都相同,只是参数不同,所以调用的都是同一个;而2里只要cust_no不同那sql语句就不同,所以对JVM来讲每次都是新的sql。
从这点来看1的性能明显大大超过2的性能。
至于sql注入,由于PrepareStatement是预编译的,倒是不存在这个问题.
第二条语句没有必要用PreparedStatement,用Statement就可以了。
[quote]为什么一般都用2不用1,到底是为什么?[/quote]
你确定?
如果一个sql被重复执行多次,而且是有参数值变化的时候,使用PreparedStatement比较合适,因为数据库(e.q.Oracle)会对SQl做软解析,而使用Statement的话,每一次SQL操作都会做一次硬解析。
另,第二种写法有SQL注入的危险
第一个是预编译SQL语句,可以在其中参数动态确定的时候使用,随着参数的改变可以多次使用;第二个就是普通的SQL语句,随着一些参数的改变还得重新编译一下;如果语句要多次使用的话,第一个性能要好得多,PrepareStatement继承了Statement接口,所以不管预编译还是普通的SQL语句,使用PrepareStatement都是可以的