MySQL数据库（十一）——连接池

（一）SQL注入式问题及解决方法

1）SQL注入问题

由于DAP层中执行的SQL语句是拼接出来的，其中有一部分内容是用户从客户端输入的。当传入数据中包含SQL关键字（1=1）时，就有可能通过这些关键字来改变SQL语句的语义，从而执行一些特殊操作，称之为SQL注入问题。

2）解决方法

采用预编译的Statement对象处理：PreparedStatement采用预编译机制将SQL语句的主干he参数分别传入数据库，数据库是可以分辨SQL语句的主干和参数，这样即使SQL中带有关键字，数据库也是仅仅将其当做参数使用，关键字就不能起作用。

3）PreparedStatement主要优势

（1）防止SQL注入

（2）使用预编译机制，执行效率是高于Statement的。

（3）SQL语句中参数是通过?形式来代替参数，在使用PreparedStatement方法set?对应的值，相对于SQL直接拼接更加优雅。

4）Statement和PreparedStatement的区别？

（1）语法不同：PreparedStatement可以使用预编译的SQL，Statement使用静态SQL。

（2）效率不同：PreparedStatement执行效率高于Statement。

（3）安全性不同：PreparedStatement可以防止SQL注入，Statement不能防止SQL注入。

（二）数据库连接池

对于简单的数据库连接，在使用之前创建一个连接，使用之后释放连接。当系统比较复杂时频繁地进行资源的连接和释放很消耗系统性能。

1）连接池

负责分配、管理和释放数据库的连接，它允许服务重复使用一个数据库既有的数据库连接，不需要重复的连接。

2）连接池的优势

（1）资源复用

（2）更快的系统响应速度

（3）新的一种资源分配方式

（4）统一的连接管理，避免数据库连接泄漏。

3）常见的连接池

（1）c3p0：简单易用，稳定性好。

（2）dbcp：Apache旗下的一个开源的数据库操作工具类，依附于Commons中的子项目。

（3）Druid：阿里开园的玉各数据库连接池，除了实现数据库连接池本身的功能，还有强大的数据库执行监控功能。

（三）连接池的使用

1）c3p0使用步骤

（1）引入依赖

（2）给定c3p0-config.xml配置文件，给定数据库连接的4个核心配置和连接池的基本配置。

（3）代码开发，数据源类

2）dbcp连接池使用步骤

（1）引入依赖

（2）给定.properties配置文件

（3）数据源

3）druid

（1）引入依赖

（2）配置文件

（3）数据源类

（*）.properties配置文件的特点

（1）每一行对应的是key-value键值对，所以数据键不需要加分隔符。

（2）该配置文件的使用是JDK提供的Properties对象进行操作

Properties properties = new Properties();
   properties.load(new FileInputStream(new File("dbcp.properties")));
   
   //通过配置文件'='左边的name获取'='右边的值
    properties.getProperty("driver");