JDBC中Statement与PreparedStatement的区别

1. statement每次执行sql语句，相关数据库都要执行sql语句的编译；preparedstatement是预编译的, 采用Cache机制（预编译语句，放在Cache中，下次执行相同SQL语句时，则可以直接从Cache中取出来，有利于sql生成查询计划。），对于批量处理可以大大提高效率. 也叫JDBC存储过程。

例如，如果要执行两条sql语句

SELECT colume FROM TABLE WHERE colume=1;
SELECT colume FROM TABLE WHERE colume=2;

会生成两个执行计划

一千个查询就生成一千个执行计划！

PreparedStatement用于使用绑定变量重用执行计划

SELECT colume FROM TABLE WHERE colume=:x;

通过set不同数据只需要生成一次执行计划，可以重用

是否使用绑定变量对系统影响非常大，生成执行计划极为消耗资源

两种实现 速度差距可能成百上千倍

后者使用了PreparedStatement对象，而前者是普通的Statement对象。PreparedStatement对象不仅包含了SQL语句，而且大多数情况下这个语句已经被预编译过，因而当其执行时，只需DBMS运行SQL语句，而不必先编译。当你需要执行Statement对象多次的时候，PreparedStatement对象将会大大降低运行时间，当然也加快了访问数据库的速度。

这种转换也给你带来很大的便利，不必重复SQL语句的句法，而只需更改其中变量的值，便可重新执行SQL语句。选择PreparedStatement对象与否，在于相同句法的SQL语句是否执行了多次，而且两次之间的差别仅仅是变量的不同。如果仅仅执行了一次的话，在对数据库只执行一次性存取的时侯，用 Statement 对象进行处理，PreparedStatement 对象的开销比Statement大，对于一次性操作并不会带来额外的好处。

2. PrepareStatement中执行的SQL语句中是可以带参数的，也就是说可以替换变量，尽量采用使用？号的方式传递参数，增加代码的可读性又可以预编译加速；而Statement则不可以。

3. 防止SQL注入。在SQL中包含特殊字符或SQL的关键字(如：’ or 1 or ‘)时，Statement将出现不可预料的结果（出现异常或查询的结果不正确），可用PreparedStatement来解决。

C:\>netstat -aon|findstr "9050"

TCP    127.0.0.1:9050         0.0.0.0:0              LISTENING       2016

C:\>tasklist|findstr "2016"

tor.exe                     2016 Console                 0     16,064 K

    windows os: exp username/"""password"""@devdb --3个双引号扩密码

    linux/unix os: exp 'username/"password"@devdb' --1个双引号扩密码，1个单引号扩全部

    实验结果如下：
1.创建带有特殊字符密码的用户
C:\Documents and Settings\Home>sqlplus /nolog
SQL*Plus: Release 10.2.0.1.0 - Production on 星期四 5月 7 17:37:36 2009
Copyright (c) 1982, 2005, Oracle.  All rights reserved.
SQL> connsys/oracle@devdbas sysdba
已连接。
SQL> create user exp identified by "12345!@#$%";
用户已创建。
SQL> grant connect, resource to exp;
授权成功。
SQL> conn exp/"12345!@#$%"@devdb2
已连接。
SQL> create table table1 as select * from dual;
表已创建。
SQL> exit
2.windows os导出测试
C:\Documents and Settings\Home>expexp/12345!@#$%@devdbfile=c:\exp.dmp wner=exp
Export: Release 9.2.0.1.0 - Production on 星期四 5月 7 17:39:42 2009
Copyright (c) 1982, 2002, Oracle Corporation.  All rights reserved.
EXP-00056: 遇到 ORACLE 错误 12154
ORA-12154: TNS: 无法处理服务名
EXP-00000: 导出终止失败
C:\Documents and Settings\Home>exp exp/"12345!@#$%"@devdb2file=c:\exp.dmp wner=exp
Export: Release 9.2.0.1.0 - Production on 星期四 5月 7 17:39:57 2009
Copyright (c) 1982, 2002, Oracle Corporation.  All rights reserved.
EXP-00056: 遇到 ORACLE 错误 12154
ORA-12154: TNS: 无法处理服务名
EXP-00000: 导出终止失败
C:\Documents and Settings\Home>exp exp/"""12345!@#$%"""@devdb2file=c:\exp.dmp wner=exp
Export: Release 9.2.0.1.0 - Production on 星期四 5月 7 17:41:54 2009
Copyright (c) 1982, 2002, Oracle Corporation.  All rights reserved.
连接到: Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - Production
With the Partitioning, Real Application Clusters, OLAP, Data Mining
and Real Application Testing options
已导出 ZHS16GBK 字符集和 AL16UTF16 NCHAR 字符集
. 正在导出 pre-schema 过程对象和操作
. 正在导出用户 EXP 的外部函数库名称
. 导出 PUBLIC 类型同义词
. 导出私有类型同义词
. 正在导出用户 EXP 的对象类型定义
即将导出 EXP 的对象 ...
. 正在导出数据库链接
. 正在导出序号
. 正在导出群集定义
. 即将导出 EXP 的表通过常规路径 ...
. . 正在导出表                          TABLE1          1 行被导出
. 正在导出同义词
. 正在导出视图
. 正在导出存储的过程
. 正在导出运算符
. 正在导出引用完整性约束条件
. 正在导出触发器
. 正在导出索引类型
. 正在导出位图, 功能性索引和可扩展索引
. 正在导出后期表活动
. 正在导出实体化视图
. 正在导出快照日志
. 正在导出作业队列
. 正在导出刷新组和子组
. 正在导出维
. 正在导出 post-schema 过程对象和操作
. 正在导出统计
在没有警告的情况下成功终止导出。

3.linux/unix os导出测试
[oracle@rac2 ~]$ expexp/12345!@#$%@devdbfile=./exp.dmp wner=exp
-bash:!@#$%@devdb: event not found
[oracle@rac2 ~]$ exp exp/"""12345!@#$%"""@devdbfile=./exp.dmp wner=exp
-bash:!@#$%"""@devdb: event not found
[oracle@rac2 ~]$exp 'exp/"12345!@#$%"@devdb'file=./exp.dmp wner=exp 
Export: Release 10.2.0.4.0 - Production on Thu May 7 19:21:32 2009 
Copyright (c) 1982, 2007, Oracle.  All rights reserved. 
Connected to: Oracle Database 10g Enterprise Edition Release 10.2.0.4.0 - Production
With the Partitioning, Real Application Clusters, OLAP, Data Mining
and Real Application Testing options
Export done in US7ASCII character set and AL16UTF16 NCHAR character set
server uses ZHS16GBK character set (possible charset conversion)
. exporting pre-schema procedural objects and actions
. exporting foreign function library names for user EXP
. exporting PUBLIC type synonyms
. exporting private type synonyms
. exporting object type definitions for user EXP
About to export EXP's objects ...
. exporting database links
. exporting sequence numbers
. exporting cluster definitions
. about to export EXP's tables via Conventional Path ...
. . exporting table                         TABLE1          1 rows exported
. exporting synonyms
. exporting views
. exporting stored procedures
. exporting operators
. exporting referential integrity constraints
. exporting triggers
. exporting indextypes
. exporting bitmap, functional and extensible indexes
. exporting posttables actions
. exporting materialized views
. exporting snapshot logs
. exporting job queues
. exporting refresh groups and children
. exporting dimensions
. exporting post-schema procedural objects and actions
. exporting statistics
Export terminated successfully without warnings.

一，什么是Servlet？

Servlet是一个Java编写的程序，此程序是基于Http协议的，在服务器端运行的(如tomcat)，

是按照Servlet规范编写的一个Java类。

二，Servlet有什么作用？

主要是处理客户端的请求并将其结果发送到客户端。

三，Servlet的生命周期？

Servlet的生命周期是由Servlet的容器来控制的，它可以分为3个阶段;初始化，运行，销毁。

初始化阶段：

1，Servlet容器加载servlet类，把servlet类的.class文件中的数据读到内存中。

2，然后Servlet容器创建一个ServletConfig对象。ServletConfig对象包含了Servlet的初始化配置信息。

3，Servlet容器创建一个servlet对象。

4，Servlet容器调用servlet对象的init方法进行初始化。

运行阶段：

当servlet容器接收到一个请求时，servlet容器会针对这个请求创建servletRequest和servletResponse对象。

然后调用service方法。并把这两个参数传递给service方法。Service方法通过servletRequest对象获得请求的

信息。并处理该请求。再通过servletResponse对象生成这个请求的响应结果。然后销毁servletRequest和

servletResponse对象。我们不管这个请求是post提交的还是get提交的，最终这个请求都会由service方法来处理。

销毁阶段：

当Web应用被终止时，servlet容器会先调用servlet对象的destrory方法，然后再销毁servlet对象，

同时也会销毁与servlet对象相关联的servletConfig对象。我们可以在destroy方法的实现中，释放

servlet所占用的资源，如关闭数据库连接，关闭文件输入输出流等。

在这里该注意的地方：

在servlet生命周期中，servlet的初始化和和销毁阶段只会发生一次，而service方法执行的次数则取决于servlet被客户

端访问的次数

四，Servlet怎么处理一个请求？

当用户发送一个请求到某个Servlet的时候，Servlet容器会创建一个ServletRequst和ServletResponse对象。

在ServletRequst对象中封装了用户的请求信息，然后Servlet容器把ServletRequst和ServletResponse对象

传给用户所请求的Servlet，Servlet把处理好的结果写在ServletResponse中，然后Servlet容器把响应结果传

给用户。

五，Servlet与JSP有什么区别？

1，jsp经编译后就是servlet，也可以说jsp等于servlet。

2，jsp更擅长页面(表现)。servlet更擅长逻辑编辑。 (最核心的区别)。

3，在实际应用中采用Servlet来控制业务流程,而采用JSP来生成动态网页.在struts框架中,

JSP位于MVC设计模式的视图层,而Servlet位于控制层。

六，Servlet里的cookie技术？

cookies是一种WEB服务器通过浏览器在访问者的硬盘上存储信息的手段，是由Netscape公司开发出来的。

cookie技术的好处：

    1，Cookie有效期限未到时，Cookie能使用户在不键入密码和用户名的情况下进入曾经浏览过的一些站点。

    2，Cookie能使站点跟踪特定访问者的访问次数、最后访问时间和访问者进入站点的路径。
   
创建一个cookie

Java代码  

1. //里面的两个参数分别是cookie的名和cookie的值  
2.   
3. response.addCookie(new Cookie("abc","10000000"));  

使用cookie

Java代码  

1. Cookie[] cook =request.getCookies();//用一个Cookie数组来接收  
2.   
3. for(int j=0;j<cook.length;j++){//通过循环来打印Cookie  
4.   
5.         cook[j].getName()://取cookie的名    
6.         cook[j].getValue()://去cookie的值  
7.   
8. }  

七，Servlet里的过滤器？

过滤器的主要作用

1，任何系统或网站都要判断用户是否登录。

2，网络聊天系统或论坛，功能是过滤非法文字

3，统一解决编码

(2)怎么创建一个过滤器：

1，生成一个普通的class类，实现Filter接口(javax.servlet.Filter;)。

2，重写接口里面的三个方法：init，doFilter，destroy。

3，然后在web.xml配置过滤器。

八，Servlet里的监听器？

监听器的作用：自动执行一些操作。

三种servlet监听器:

对request的监听。对session的监听。对application的监听。

怎么创建一个session监听器：

1，生成一个普通的class类，如果是对session的监听，则实现HttpSessionListener。

2，然后重写里面的五个方法:

Java代码  

1. public void sessionCreated(HttpSessionEvent arg0) {} // 创建  
2.   
3. public void sessionDestroyed(HttpSessionEvent arg0) {} // 销毁  
4.   
5. public void attributeAdded(HttpSessionEvent arg0) {} // 增加  
6.   
7. public void attributeRemoved(HttpSessionEvent arg0) {} // 删除  
8.   
9. public void attributeReplaced(HttpSessionEvent arg0) {} // 替换 
   

板桥里人 http://www.jdon.com 2006/1/2（转载请保留）

　　这是一个实战中非常重要但是容易被忽视的概念，说它重要，是因为它比数据库重要；说它容易被忽视也是同样的原因，它经常被数据库概念替代。

　　如果你经验和经历中没有状态这个概念，极端地说：可能你的Java系统经验还未积累到一定程度，状态是每个Java程序员深入Java系统后必然碰到的问题。

　　本文我想试图表达的是：状态分两种：活动的状态对象和持久化的状态。而数据库中的数据只是状态的一种持久化结果，而Java系统 运行时，我们更多的可能是和一种活动的状态打交道，这种活动的状态存在内存中，而不是持久化到硬盘上，当然，需要时你可以通过数据库/文件持久化到硬盘上。

　　但是，如果你以数据库数据替代状态，那么就可能导致数据库的频繁访问，而且 你的系统会变成一个非对象化的、紧耦合、到处是分散数据块的糟糕系统。这样的系统并不比传统的两层结构好到哪里！也不会比Jsp里嵌入Java代码伪三层系统高明到什么地方。

什么是状态？

　　只要有对象就可能有状态，任何一个对象活动时，都有自己的状态属性，类的 字段属性极有可能成为状态，我们现在经常使用的Domain model其实就是一种 包含状态的对象，如果你对状态没有深入掌握，就不可能真正掌握对象系统特点，或者是Domain Model的执行情况。

　　对于初学者，经常会疑问：我是将数据放在HttpSession中还是Request中，这里 其实已经开始接触状态，一旦你接触状态，你就要开始小心，因为你可能会将内存泄漏的恶魔导引进来。

　　内存泄漏的恶魔爆发时刻取决于你状态的生存周期和系统并发访问量。

　　状态的生存周期也就是包含这个状态的对象的生命周期，在简单系统中，我们只 需要通过new创建对象，然后它的消亡就会依靠JVM垃圾回收机制回收，但是事情会这么简单吗？

　　状态的危险还会发生在多线程环境下，当多个线程对同一个内存中状态写操作时，这时怎么办？如果这个状 态持久化在数据库中，我们会依赖数据库提供的强大事务机制防止这种并发死锁，但是如果是在内存中，你就很难办，因此，我们就尽量避免发生这种多线程同时访 问一个状态的现象，而Singleton单例模式极容易发生这种现象，因此实践中，单例模式是J2EE开发中需要避免的，相关帖子讨论见：
http://www.jdon.com/jive/article.jsp?forum=91&thread=17578

　　我们接触的Web容器或Jsp/Servlet本质就是一个多线程，这也是很多初学者不知道的， 因为多线程编程是复杂或困难的，因此才有jsp/Servlet这样的上层封装，但是我们使用他们
时，实际在进行多线程编程。

　　生命周期和多线程并发使得我们简单的面向对象系统变得异常复杂和难以掌握起来。下面我从这个两个角度，给出两种模式思维解决之道。

生命周期(Scope)

　　生命周期(Scope)就是指状态的活动周期，状态对象是什么时候被创建；然后什么时候被销毁，很显然，如果状态对象还没有被创建或已经被销毁，你再 访问这个状态对象可能失败，而状态的生命周期控制是可能散落在运行程序的各个地方，如果不象状态模式那样进行统一控制，有可能整个系统是危机四伏的。

　　状态的生命周期其实就是对象生命周期，更加细化地说：是Domain Model这个对象的生命周期。这在一个以领域模型为驱动的设计概念中不可回避的课题，而领域模型实战的复杂性就复杂在此。

　　状态的生命周期在J2EE中目前有三种：Request/Session和 Application，Request是每个客户端发出的一次请求，这是J2EE系统中最基本的事件激活单元， 当服务器端推出一个页面到客户端时，意味着这个Request的结束。那么如果我们的状态保存在Request中，意味着在request结束之前，这个 请求经历的任何一个环节都可以对这个状态（对象）进行操作。（掌握这个原理，对于你学习Struts和JSF很有帮助）

　　如果是Session，则一直和该客户端有关，只要是该客户端发出的每次request的任何环节都可以对这个状态（对象）进行操作。

　　如果是Application，则意味着这个状态是当前Web项目的全局状态。

　　这三种状态形式都是以将状态保存在内存中形式存在的，是和持久化状态相对的。是一种内存活动状态。

　　生命周期的选取当然是越短越好，这样，这个状态对象就可以被自动销毁，从而避免了
大访问量下的内存泄漏，但是在大访问量下，对象频繁创建和销毁是耗费性能的。

　　那么，我们可能经常使用HttpSession来保存状态，这时你极有可能造成内存泄漏，我经常在 Jdon论坛上看到将很多数据库数据暂时保存在HttpSession中想法，这是相当危险的，因为一旦并发用户很多，相当多的HttpSession包 含了状态，而状态中有可能有更多其他引用，因此内存很快会爆满，或者垃圾回收机制频繁启动，造成应用系统运行暂停或缓慢。

　　当你将状态放入HttpSession时，难道没有考虑将其手工消除吗？你要知道所有Web容器 （Tomcat/Weblogic等）都不会自动替你清除那些你可能不用的状态对象啊。如果每个人只管新增元素，不管重整或管理，这个系统能不变得混乱 吗？代码上这种现象我们是通过Refactoring等结构/行为模式来解决，那么在运行时的状态管理呢？

　　状态管理模式或者说对象管理模式正是解决这种问题的。

　　 按照该模式，你必须手工自己管理放在HttpSession的状态，比如你为每个HttpSession
设立一个状态容器最大尺寸，当超过这个尺寸时，你需要将不用的状态从容器去除， 但是如果这个客户端在Session失效期内又来访问这个状态怎么办？那么你可能需要先临时将状态序列化保存到硬盘上，等Session失效期到达后再真正删除。

　　是不是觉得很麻烦？
　　捷径是有：
　　1. 尽量少使用HttpSession保存状态，这对集群环境也是有利的，见该贴讨论：
http://www.jdon.com/jive/article.jsp?forum=121&thread=22282
那么这些状态放在哪里？使用Application的缓存中，

　　2. 使用状态管理中间件，目前有几个选择：EJB的有态Bean；NanoContainer之类状态相关的微容器。那么Spring可以吗？目前没有发现有 该功能，甚至在Spring容器内无法直接使用Session性质的状态，只能通过线程级别的ThreadLocal来实现(对不起，你又要开始回到远古 的汇编线程时代了)；而Jdon框架则可以。

　　下面我们谈谈Application的状态，在这个范围内，一个对象状态可以被多个用户反复访问，在这个级别，状态类似数据库中数据，因为可以使用数据库来替代这个级别的状态，所以将状态放入缓存这个深层次技术被大多数初学者忽视了，甚至产生了对数据库依赖心理。

缓存中的状态

　　虽然我们将状态保存在Application中，但是我们不可避免还是遇到Session同样的状态管理问题，这个问题所幸的是有专门缓存中间件解决 了，当然，在一个多服务器集群系统，如果一个客户端在一个服务器中存放了状态，那么能否在另外一个服务器的内存中访问到呢？回答是肯定的，前提是你必须使 用分布式缓存系统。

　　目前分布式缓存系统是靠EJB服务器完成，当JBoss 5在2006变成完全解耦、可肢解时，
我们就可以使用原本只支持EJB的JBoss分布式缓存系统来支持我们的普通JavaBeans了(POJO)。这其中目前可能会花费一些力气，因为还没有一个统一的POJO构件接口标准，我相信以后
可能会有。

　　如果你不想花费力气，而且可能就只是一台服务器，可以通过双核芯片提升性能，那么单态缓存如果实现？很简单，使用一个缓存产品如OsCache等，将其设定保存在 Application中，或者在web.xml中进行一下简单的配置即可。

　　但是，这时你可能碰到另外一个问题：状态的唯一标识，如何通过唯一标识从缓存中那么
多对象状态中取出你要的那一个呢？比较琐碎。

　　有没有一个框架帮助你省却这些麻烦，当然推荐Jdon Framework，只要将包含状态的类（主要是Domain Model）继承特定的类或接口（接口在1.4版本实现）即可，这个类的对象运行时就会被缓存或从缓存中读取，再也无需你照料缓存了，就这么简单。

　　当然，Jdon Framework的底层缓存器是可以被替代，使用你喜欢的缓存产品，因为jdon
Framework是基于Ioc设计，构件之间是完全解耦、可彻底肢解，能够通过配置替代和更换的。
如果你不明白这个道理，需要好好研究一下Ioc模式带给我们革命性的新变化。

　　从以上也可以看出：java复杂性还在于我们需要在编码时，却要想象其运行时的情形。而这种翻译联想没有深厚的实践功底，是很难顺利完成的。

状态管理中间件

　　自从J2EE开辟中间件时代以来，就有相当多的高级中间件提供与具体应用无关的通用功能，状态管理中间件很早就有之，EJB的有态Session Bean是一个代表。

　　一个中间件不但要有良好的松耦合设计，我们暂时称为静态设计；更要有优秀的动态设计，例如状态管理就属于一种动态设计。

　　当然，如果你比较谦虚，不但要选择一些静态设计很好的框架或中间件；而且还要依赖一些拥有良好的动态运行管理的中间件。

　　EJB无论是EJB1.X/EJB2.X/EJB3.X.在状态管理上要更加优秀，当然EJB3.X又吸收了优秀的静态设计概念，但是因为需要有一个具体服务器实现过程，这个过程中存在一些陷阱，如In-Box问题等。

　　Spring无疑是一个静态设计非常优秀框架，它一直在AOP上孜孜不倦，力图探索一条从AOP角度进行动态运行管理干预捷径，相信会有惊人结果，当然，这种细粒度的AOP需要实践检验，当然如果整入JDK 6.0就更好。

　　而Jdon Framework则试图在目前两者之间寻求了一个平衡，既有Ioc/AOP优秀的静态设计，虽然在AOP上不及Spring前卫；但提供了切实Session和Cache状态管理；

　　如果你不需要EJB的分布式多服务器集群功能；又不是AOP的超级粉丝，无疑使用Jdon Framework之类的框架无疑是简化方便的。

状态设计的难点

　　最后，我不得不重申，并不是有了良好的状态管理框架就可以高枕无忧了，状态的设计其实是我们每个项目必须面临的可变课题，如果状态复杂了可以使用状态模式对付，可惜往往状态不够复杂。

　　一个对象本身属性和状态是应该耦合在一起，还是进行分离，属性和状态没有明显的泾渭分明的界限，我们举一个例子：

　　论坛Forum这个对象，它有一些字段属性，如论坛名称、论坛描述，还有其他一些相关属性：如该论坛 的最新发帖；该论坛的发贴量，后两者好像也是论坛字段，但是他们可能经常变化的，应该属于状态，那么状态和Forum这个主体对象是什么关系？是将该论坛 的最新发帖和该论坛的发贴量两个字段并入Forum这个Domain Model中，还是应该单独建立一个状态对象？如果进行分离，分离的依据是什么？

　　当然，这里分离的依据是因为对象的生存周期不同。对于我们熟悉的课题，我们能够马上分辨出其中的生存周期，如果是不熟悉领域的建模呢？

　　所以，大家已经明白：状态设计的难点是：如何粒度细化地创建模型对象；然后分辨出其中动态的状态性质。这是域建模实战中一个难点。

　　很多人问我：你提倡的域建模、设计模式和框架是什么意思？为什么说他们是Java开发设计的三件宝呢？或者说三个典型知识点呢？我想通过本篇我已经通过状态这个概念稍微解释了域建模的一些特点。

(1) 访问流程:

(1.1) 系统运行在某web容器,如Tomcat(其运行和weblogic不同,Tomcat只有一个进程).

      其预设有初始的线程数.

(1.2) 浏览器打开某网站,网站及给其分配一个sessionID(页面隐式的发起request, 由Tomcat

      某个特定的监听线程给予response一个sessionid). 该sessionid用以识别本次访问.

(1.3) 用户点击登录/注册, 浏览器发起一个新的request, 由Tomcat线程池中空闲的线程进行

       处理. 反馈结果于前台展现.如线程池中线程不足,则Tomcat每次按照一定规则创建出更多的空闲线程(其初始值,增加值,及最大值依据配置文件/JDK/硬件).

最近在做登录和权限控制模块，用到了session，发现session的好多方法都不熟悉，而且以前也听说过JsessionId 之类session窃取的事，

对这些一直都是一知半解。今天索性google了很多资料，先上sun的官网去看session的文档了解一些方法，又找了别人关于session的看法。

总结如下：

      1，session是什么？  what

          session经常译为会话，以打电话为例，从开始拨号到挂断电话就是你会话的生存周期。

      2，session 做什么用的  why？

          首先举个例子：

                咖啡店举行 消费满5杯咖啡赠送一杯的活动，可每个人一次消费5杯的时候非常少。这时候有3种办法：

                1，店员看到每个顾客时都能记住其消费了多少杯，从而给其优惠，这是协议本身具有状态

                2，给每个顾客一个卡片，上面记录顾客的每次消费，这是客户端保存状态

                3，给每个顾客一个卡片，卡片上只有一个编号，顾客每次的消费记录在店里，这就是 服务端有状态

          而http本身是无状态的，所以我们只能使用2，3中方法，来保存一些信息。

          实际采用的是第3种方法，服务器段保存一次会话所有的信息，并生成一个唯一的id，这个id没有规律而且不会重复，将这个id传回到客户段，

保存到cookie中。每次访问服务器时，客户端都会偷偷将这个id传到服务器，服务器根据id查到这次会话保存的内容。就能实现会话中共享一些数据。

     3，session怎样创建和销毁 ？ how

         session是保存在内存中的，所以会有一些性能上的影响。因此本着这个原则，session是只有在使用到的时候才会被创建，如果始终没有用到

session，这个session是永远不会被创建的。

        比如： 访问servlet ，只要你代码中没有 request.getSession()或request.getSession(true);这两行是等价的，那session是不会创建。

又 当你访问静态页面时，根本不会生成servlet，所以也不会创建session。

       下面解释一些疑惑： session是第一次请求时创建的？

  大家都知道 jsp是被编译成servlet才执行的，问题就在jsp编译的过程。

 jsp中有个<%@ page session="true/false"%> 这个开关表示是否创建session，当你不写这行时，它会默认给你加上这句。所以会造成上面的疑惑。

当然还有一些标签中可能有getSession()操作，会产生一些不必要的session。

       session只能在服务端销毁，有三种途径： 1，到达session的最大请求间隔时间时，2，session。invalidate()

 3,服务器进程当掉。

       这里也有一些疑惑： 浏览器关闭时，session就会注销。

       首先浏览器关闭时，浏览器并没有给服务器发送任何消息，所以服务器不会知道浏览器何时关闭了。

 上面我们知道取得session 是因为浏览器cookie中有sessionid，而普通cookie通常会是会话cookie，也就是说浏览器关闭时，这个cookie会被注销，

所以当你再访问服务器时就没有sessionid了，所以造成session关闭了的假象，如果昵称通过特殊方法将sessionid传递给服务器，你会发现session还在。

如果想让cookie保存时间长一些，就需要手动指定cookie的过期时间

4，实际项目中的难点：

     1，浏览器禁用cookie

      这就没办法保存sessionid了，可以采用url重写，转发，加隐藏字段等方法来将sessionid传给服务器。

     如：  baidu.com:jsessionid=adfasdfasdfasdfasdfafdadf?asdfasdf

             baidu.com?jsessionid=asdfasdfasdfadsfad&&adfdf

 这根据服务器的不同实现，第一种可以将普通参数区分开。

     2，多人共用session的问题

        例： a 访问 baidu.com ,但他没有帐号，于是他将连接 baidu.com/login.jsp?jsessionid=adsfasdfad（这个a的sessionid） 发给B, B登录

后，a就相当于用b的帐号登录了。你们可以在在本地试试。

        解决方法： 当发现通过sessionid从url指定时， 创建一个新的session，将旧session的信息复制到 新sessoin中，然后将新session注销。

就能防止上面那种情况了。

    3，一个帐号多地方登录

       比如： 你用abc帐号登录了baidu.com,有打开了一个浏览器，又用abc帐号登录了一次。当不设计敏感操作时，这无所谓，而当你做一些敏感操

作时就必须禁止这样情况，防止同时操作，造成重复操作，或者数据损坏。

     解决方法： 监听session，将username和sessionid对应起来，当username再次登录时，注销掉以前的session，保存现在的session，这也是

一种比较不错的方案。