标签:
可滚动的ResultSet
要使用可滚动的结果集,必须使用不同于前面所定义的Statement:
//创建一个 Statement 对象,该对象将生成具有给定类型和并发性的 ResultSet 对象。
Statement stmt = conn.createStatement(type,concurrency); PreparedStatement stmt = conn.prepareStatement(sql,type,concurrency)
12.1 ResultSet滚动的结果集 next() previous() first() last() absolute() relative() beforeFirst() afterLast() isFirst() isLast() isBeforeFirst() isAfterLast()
13 PreparedStatement
PreparedStatement对象对数据库crud操作
l 可以通过调用 Connection 对象的 preparedStatement() 方法获取 PreparedStatement 对象
l PreparedStatement 接口是 Statement 的子接口,它表示一条预编译过的 SQL 语句
l PreparedStatement 对象所代表的 SQL 语句中的参数用问号(?)来表示,调用 PreparedStatement 对象的 setXXX() 方法来设置这些参数. setXXX() 方法有两个参数,第一个参数是要设置的 SQL 语句中的参数的索引(从 1 开始),第二个是设置的 SQL 语句中的参数的值
14 Statement的不安全性 PreparedStatement VS Statement
l SQL注入是利用某些系统没有对用户输入的数据进行充分的检查,而在用户输入数据中注入非法的 SQL 语句段或命令,从而利用系统的 SQL引擎完成恶意行为的做法
l 用 PreparedStatement 取代 Statement 就可以解决
String username=“a‘ or 1=1 or 1=‘ "; String psw="b"; String sql = "select count(*) from login where username=‘"+username+"‘ and psw=‘"+psw+"‘"; select count(*) from login where username=‘a‘ or 1=1 or 1=‘‘ and psw=‘b‘
改进的方案:
14 sql注入
15 PreparedStatement与statement比较
l 代码的可读性和可维护性.
l PreparedStatement能保证安全性(解决sql注入问题)
l PreparedStatement 能最大可能提高性能:
对Mysql来说几乎没有区别,但对oracle数据库则非常明显
标签:
原文地址:http://www.cnblogs.com/zhenghongxin/p/4385251.html
