我们开发的是一套大型门户系统,因为是Internet访问的,所以,Statement会出现安全问题,这个在
http://blog.csdn.net/hongbo781202/archive/2005/09/19/485092.aspx里面已经讨论过了,然后我抄一段ORACLE电子杂志的话给大家看看:“除了缓冲的问题之外,至少还有一个更好的原因使我们在企业应用程序中更喜欢使用 PreparedStatement对象,那就是安全性。传递给PreparedStatement对象的参数可以被强制进行类型转换,使开发人员可以确保在插入或查询数据时与底层的数据库格式匹配。
当处理公共Web站点上的用户传来的数据的时候,安全性的问题就变得极为重要。传递给 PreparedStatement的字符串参数会自动被驱动器忽略。最简单的情况下,这就意味着当你的程序试着将字符串“DAngelo”插入到 VARCHAR2中时,该语句将不会识别第一个“,”,从而导致悲惨的失败。几乎很少有必要创建你自己的字符串忽略代码。
在Web环境中,有恶意的用户会利用那些设计不完善的、不能正确处理字符串的应用程序。特别是在公共Web站点上,在没有首先通过PreparedStatement对象处理的情况下,所有的用户输入都不应该传递给SQL语句。此外,在用户有机会修改SQL语句的地方,如HTML的隐藏区域或一个查询字符串上,SQL语句都不应该被显示出来。”。这段话和我们群里面的讨论一模一样。
关于性能问题,再给大家看段话:“通常认为PreparedStatement 对象比Statement对象更有效,特别是如果带有不同参数的同一SQL语句被多次执行的时候。PreparedStatement对象允许数据库预编译SQL语句,这样在随后的运行中可以节省时间并增加代码的可读性。
然而,在Oracle环境中,开发人员实际上有更大的灵活性。当使用 Statement或PreparedStatement对象时,Oracle数据库会缓存SQL语句以便以后使用。在一些情况下,由于驱动器自身需要额外的处理和在Java应用程序和Oracle服务器间增加的网络活动,执行PreparedStatement对象实际上会花更长的时间。”
实际上,我的测试结果是:在同一SQL执行5次的情况下,PrepareStatement比Statement要慢3%.
我们再看看http://www.oreilly.com/catalog/jorajdbc/chapter/ch19.html
里面有详细的图表说明为什么Statement比PreparedStatement快。结论是:一个prepared statement要执行65次以上才能赶上一个普通statement的执行效率。
另外一个问题就是Index的使用,基本的原则就是: 如果是多列Index,一般应该保证这几个列都在查询条件中。而且对于单列Index,只有满足查询出来的结果命中率在20%以下,使用索引会才会加快速度! 否则可能会越Index越慢哦!
根据经验看,上面的结论对Oracle,Sybase,Mysql,Informix都成立,好可怕啊,不知道我前两年的程序怎么做的,原来我前两年都是在谎言的边缘度过!
>> 本文固定链接: http://www.vcgood.com/archives/189
