pchg119 2011-05-19 10:50
浏览 319
已采纳

java中执行sql语句参数设置问题

想问下:
java里面:
1、
String cust_no="123456";
StringBuffer qry = new StringBuffer();
qry.append(" SELECT * ");
qry.append(" FROM TORDERDETAIL ");
qry.append(" where CUST_NO =? ");
pStmt = conn.prepareStatement(qry.toString());
pStmt.setString(1,cust_no);
rs = pStmt.executeQuery();


2、
String cust_no="123456";
StringBuffer qry = new StringBuffer();
qry.append(" SELECT * ");
qry.append(" FROM TORDERDETAIL ");
qry.append(" where CUST_NO ="+cust_no+" ");
pStmt = conn.prepareStatement(qry.toString());
rs = pStmt.executeQuery();
有什么本质的区别?
为什么一般都用2不用1,到底是为什么?
有人说是考虑sql注入安全问题什么的,请问下怎么个安全和不安全法?从哪些具体的方面考虑?
请大家帮忙解答一下,谢谢了!

  • 写回答

3条回答 默认 最新

  • fmjsjx 2011-05-19 11:12
    关注

    PrepareStatement会以sql语句作为key把这个过程缓存起来。
    你看1里面每次查询的sql语句都相同,只是参数不同,所以调用的都是同一个;而2里只要cust_no不同那sql语句就不同,所以对JVM来讲每次都是新的sql。
    从这点来看1的性能明显大大超过2的性能。

    至于sql注入,由于PrepareStatement是预编译的,倒是不存在这个问题.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(2条)

报告相同问题?

悬赏问题

  • ¥15 MATLAB怎么通过柱坐标变换画开口是圆形的旋转抛物面?
  • ¥15 寻一个支付宝扫码远程授权登录的软件助手app
  • ¥15 解riccati方程组
  • ¥15 display:none;样式在嵌套结构中的已设置了display样式的元素上不起作用?
  • ¥15 使用rabbitMQ 消息队列作为url源进行多线程爬取时,总有几个url没有处理的问题。
  • ¥15 Ubuntu在安装序列比对软件STAR时出现报错如何解决
  • ¥50 树莓派安卓APK系统签名
  • ¥65 汇编语言除法溢出问题
  • ¥15 Visual Studio问题
  • ¥20 求一个html代码,有偿