Oracle Parameter

在实际开发中，经常会需要对数据库进行访问，最常见的开发方法就类似：
　　string sql = "select * from table1 where name = '" + name + "'";
　　这种方式有被注入攻击的危险
　　所以解决方案有2种：
　　1、改成：string sql = "select * from table1 where name = '" + name.Replace("'","''") + "'"; // 替换一个单引号为两个单引号
　　2、使用参数化形式，如在Oracle中，用如下方式执行：
　　string sql = "select * from table1 where name = :vName";
　　OracleParameter para = new OracleParameter("vName", OracleType.VarChar);
　　para.Value = name;
　　OracleConnection con = new OracleConnection (constr);
　　con.Open();
　　OracleCommand com = con.CreateCommand();
　　com.CommandText = sql;
　　com.Parameters.Add(para);
　　com.ExecuteReader();
　　如此看来，使用参数化的形式复杂的许多，用替换的方式简单的多
　　所以我一直以来都是用替换的方式来处理，昨天发现了用参数的另一个好处
　　才知道，使用参数化形式还可以提高Oracle的性能（不知道SqlServer有没有类似的好处）
　　通过分析SQL语句的执行计划优化SQL
　　共享sql语句
　　为了不重复解析相同的SQL语句(因为解析操作比较费资源，会导致性能下降)，在第一次解析之后，ORACLE将SQL语句及解析后得到的执行计划存放在内存中。这块位于系统全局区域SGA(system global area)的共享池(shared buffer pool)中的内存可以被所有的数据库用户共享。因此，当你执行一个SQL语句(有时被称为一个游标)时，如果该语句和之前的执行过的某一语句完全相同，并且之前执行的该语句与其执行计划仍然在内存中存在，则ORACLE就不需要再进行分析，直接得到该语句的执行路径。ORACLE的这个功能大大地提高了SQL的执行性能并大大节省了内存的使用。使用这个功能的关键是将执行过的语句尽可能放到内存中，所以这要求有大的共享池(通过设置shared buffer pool参数值)和尽可能的使用绑定变量的方法执行SQL语句。
　　当你向ORACLE 提交一个SQL语句，ORACLE会首先在共享内存中查找是否有相同的语句。这里需要注明的是，ORACLE对两者采取的是一种严格匹配，要达成共享，SQL语句必须完全相同(包括空格,换行等)。
　　下面是判断SQL语句是否与共享内存中某一SQL相同的步骤：
　　1. 对所发出语句的文本串进行hashed。如果hash值与已在共享池中SQL语句的