(一)SQL注入式问题及解决方法
1)SQL注入问题
由于DAP层中执行的SQL语句是拼接出来的,其中有一部分内容是用户从客户端输入的。当传入数据中包含SQL关键字(1=1)时,就有可能通过这些关键字来改变SQL语句的语义,从而执行一些特殊操作,称之为SQL注入问题。
2)解决方法
采用预编译的Statement对象处理:PreparedStatement采用预编译机制将SQL语句的主干he参数分别传入数据库,数据库是可以分辨SQL语句的主干和参数,这样即使SQL中带有关键字,数据库也是仅仅将其当做参数使用,关键字就不能起作用。
3)PreparedStatement主要优势
(1)防止SQL注入
(2)使用预编译机制,执行效率是高于Statement的。
(3)SQL语句中参数是通过?形式来代替参数,在使用PreparedStatement方法set?对应的值,相对于SQL直接拼接更加优雅。
4)Statement和PreparedStatement的区别?
(1)语法不同:PreparedStatement可以使用预编译的SQL,Statement使用静态SQL。
(2)效率不同:PreparedStatement执行效率高于Statement。
(3)安全性不同:PreparedStatement可以防止SQL注入,Statement不能防止SQL注入。
(二)数据库连接池
对于简单的数据库连接,在使用之前创建一个连接,使用之后释放连接。当系统比较复杂时频繁地进行资源的连接和释放很消耗系统性能。
1)连接池
负责分配、管理和释放数据库的连接,它允许服务重复使用一个数据库既有的数据库连接,不需要重复的连接。
2)连接池的优势
(1)资源复用
(2)更快的系统响应速度
(3)新的一种资源分配方式
(4)统一的连接管理,避免数据库连接泄漏。
3)常见的连接池
(1)c3p0:简单易用,稳定性好。
(2)dbcp:Apache旗下的一个开源的数据库操作工具类,依附于Commons中的子项目。
(3)Druid:阿里开园的玉各数据库连接池,除了实现数据库连接池本身的功能,还有强大的数据库执行监控功能。
(三)连接池的使用
1)c3p0使用步骤
(1)引入依赖
(2)给定c3p0-config.xml配置文件,给定数据库连接的4个核心配置和连接池的基本配置。
(3)代码开发,数据源类
2)dbcp连接池使用步骤
(1)引入依赖
(2)给定.properties配置文件
(3)数据源
3)druid
(1)引入依赖
(2)配置文件
(3)数据源类
(*).properties配置文件的特点
(1)每一行对应的是key-value键值对,所以数据键不需要加分隔符。
(2)该配置文件的使用是JDK提供的Properties对象进行操作
Properties properties = new Properties();
properties.load(new FileInputStream(new File("dbcp.properties")));
//通过配置文件'='左边的name获取'='右边的值
properties.getProperty("driver");