zoukankan      html  css  js  c++  java
  • 代码里使用字符串操作来拼接sql语句的坏处

    1. 字符串操作更容易出错。

    2. sql语句不可避免地出现在代码里,无法坐到代码与数据分离.代码可读性降低。

    3. 效率. 很多情况下需要多次执行同一句sql语句,只是参数不同.如果使用PreparedStatement(Java),只需要在第一次执行是编译sql语句,之后的执行效率可以提高。

    4. 如果代码里使用字符串操作来拼接sql语句,那么在编译阶段是不可能发现sql语句错误的.如果使用类库提供的方法来设置参数,可以在编译时就设定参数的类型.

    5. 倘若之后要修改sql语句,比如where条件里要多加一个条件,或者为了优化性能要更改一下筛选条件的顺序,这个时候就会发现用字符串拼接是一个灾难,特别是在sql语句比较复杂的时候(有嵌套,多个表相交等).

    6. 安全性.字符串拼接sql语句容易遭受sql注入攻击.

    7. 以后可以重构? 为什么不现在就改,越早改动代价越小。
  • 相关阅读:
    Spring static 静态属性注入
    大众点评Cat--架构分析
    rxjava
    TCP/IP协议三次握手与四次握手流程解析
    [SDOI2014]数数
    CF-GYM101741K. Consistent Occurrences
    [JSOI2012]玄武密码
    [POI2000]病毒
    [JSOI2007]文本生成器
    [HNOI2006]最短母串问题
  • 原文地址:https://www.cnblogs.com/yuquanlaobo/p/624450.html
Copyright © 2011-2022 走看看