① Mysql怎麼確定儲存過程是預編譯的比普通sql執行的快
SET @update_stmt='' /*在單引號中間填入要執行的sql語句*/
PREPARE stmt FROM @update_stmt;
EXECUTE stmt;
DEALLOCATE PREPARE stmt;
② sql server 2000預編譯問題
預編譯需要設置c編譯器和引用lib的環境變數。給你一個教程看看。
http://www.ccf-dbs.org.cn/idke/xfmeng/course/Introction%20to%20Database%20System/2005ppt/exp3(3)tian%20chao%20huangwei.doc
③ 預編譯SQL語句的使用問題
void setString(int parameterIndex,
String x)
PreparedStatement pstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?");
pstmt 對象包含語句 "UPDATE table4 SET m = ? WHERE x = ?",它已發送給DBMS,並為執行作好了准備。
2、傳遞 IN 參數
在執行 PreparedStatement 對象之前,必須設置每個 ? 參數的值。這可通過調用 setXXX 方法來完成,其中 XXX 是與該參數相應的類型。例如,如果參數具有Java 類型 long,則使用的方法就是 setLong。setXXX 方法的第一個參數是要設置的參數的序數位置,第二個參數是設置給該參數的值。例如,以下代碼將第一個參數設為 123456789,第二個參數設為 100000000:
pstmt.setLong(1, 123456789);
pstmt.setLong(2, 100000000);
一旦設置了給定語句的參數值,就可用它多次執行該語句,直到調用clearParameters 方法清除它為止。在連接的預設模式下(啟用自動提交),當語句完成時將自動提交或還原該語句。
如果基本資料庫和驅動程序在語句提交之後仍保持這些語句的打開狀態,則同一個 PreparedStatement 可執行多次。如果這一點不成立,那麼試圖通過使用PreparedStatement 對象代替 Statement 對象來提高性能是沒有意義的。
利用 pstmt(前面創建的 PreparedStatement 對象),以下代碼例示了如何設置兩個參數佔位符的值並執行 pstmt 10 次。如上所述,為做到這一點,資料庫不能關閉 pstmt。在該示例中,第一個參數被設置為 "Hi"並保持為常數。在 for 循環中,每次都將第二個參數設置為不同的值:從 0 開始,到 9 結束。
pstmt.setString(1, "Hi");
for (int i = 0; i < 10; i++) {
pstmt.setInt(2, i);
int rowCount = pstmt.executeUpdate();
}
④ SQL注入的防範 使用預編譯語句
預編譯語句PreparedStatement是 java.sql中的一個介面,繼承自Statement 介面。通過Statement對象執行SQL語句時,需要將SQL語句發送給DBMS,由 DBMS先進行編譯後再執行。而預編譯語句和Statement不同,在創建PreparedStatement對象時就指定了SQL語句,該語句立即發送給DBMS進行編譯,當該編譯語句需要被執行時,DBMS直接運行編譯後的SQL語句,而不需要像其他SQL語句那樣先將其編譯。引發SQL注入的根本原因是惡意用戶將SQL指令偽裝成參數傳遞到後端資料庫執行。作為一種更為安全的動態字元串的構建方法,預編譯語句使用參數佔位符來替代需要動態傳入的參數,這樣攻擊者無法改變SQL語句的結構,SQL語句的語義不會發生改變,即便用戶傳入類似於前面' or '1'='1這樣的字元串,資料庫也會將其作為普通的字元串來處理。
⑤ SQL注入預編譯是絕對安全的么
沒錯,存儲過程的確能有效解決SQL注入式攻擊!
理由:因為通常的資料庫訪問方法,都是把訪問數據表的權利賦給程序,注入式攻擊者通過你的程序漏洞判斷和獲得更多的信息,並利用你賦給程序的訪問和操作權,輕者破壞本表數據,重者毀壞整個資料庫!
使用存儲過程則完全不同,程序中不必再有SQL語句,因此程序不必擁有訪問和操作數據表的許可權,只把運行存儲過程的許可權交給程序。程序只是把參數和存儲過程名告訴資料庫,然後等待結果就行了,注入式攻擊者要想運行存儲過程,就必需猜對存儲過程名,並且還要猜對參數個數、參數名和參數的順序,同時滿足這些條件太難了,即便所以條件都滿足,那麼攻擊者也只是往數據表裡存了一組合法數據而已,不會導致其它破壞。
因此,通過存儲過程能從根本上解決注入式攻擊。
需要注意的是,使用存儲過程後,應把原來交給程序的操作數據表的許可權收回,否則就象為了防小偷鎖了前門,卻開著後門一樣。
⑥ 關於預編譯SQL語句 幫忙看一下對不對啊
sql注入怎麼回事:說白了就是在一個單引號上做文章,你把單引號轉義就沒啥問題了,預編譯就是把這些字元轉義後插入,其中包括單引號。
這段可以防止.
⑦ sql 存儲過程中本地臨時表的生存周期
你的理解稍微有點偏差
局部臨時表只局限於創建進程以及創建進程的子進程
那麼將存儲過程看作是一個進程1,而exec(@sql)則是另一個進程2
根據我上面說的,#temp只會作用於創建它的進程2中
那麼要想使#temp貫穿整個存儲過程,則需要在存儲過程中先用create table #temp來創建這個臨時表,這樣這個臨時表的創建者就升級成了進程1,其他的無論進程2、進程3都是進程1的子進程,這樣就都能引用到#temp,此時進程2中的語句就要改寫成insert into而不是select into了
不過這個前提是你已知曉表結構,可以固定的創建臨時表
否則你只能用exec(@sql)的形式將整個存儲過程體都以拼接的方式執行
也就是不通過臨時表,直接用exec(@sql)將查詢結果輸出
⑧ ps.executeUpdate(); 是什麼意思
是當成功插入數據到資料庫時候,這個會返回一個大於1的數字,來表明數據成功插入庫之中
sql注入發生的時間,sql注入發生的階段在sql預編譯階段,當編譯完成的sql不會產生sql注入,採用jdbc操作數據時候,preparedStatement 預編譯對象會對傳入sql進行預編譯。
那麼當傳入id 字元串為 "update ft_proposal set id = 3;drop table ft_proposal;" 這種情況下就會導致sql注入刪除ft_proposal這張表。
預編譯語句
處理使用預編譯語句之外,另一種實現方式可以採用存儲過程,存儲過程其實也是預編譯的,存儲過程是sql語句的集合,將所有預編譯的sql語句編譯完成後,存儲在資料庫上。
當傳入的參數為3;drop table user;當執行時可以看見列印的sql語句為:select name from usre where id = ?;不管輸入何種參數時,都可以防止sql注入,因為mybatis底層實現了預編譯。
⑨ java sql語句問題
SQL預編譯.
比如
StringcusId="10101";
Stringsql2="select*fromv_userwhereuserid=?";//問號表示一個參數,
PreparedStatementpstmt2=conn.prepareStatement(sql2);
pstmt2.setInt(1,cusId);//把cusId的值替換到sql2的第一個問號
當調用資料庫 執行查詢的時候, 資料庫會先編譯SQL語句,然後執行. 預編譯的作用就是,當你第二次傳同一個SQL的時候資料庫就不需要編譯了,直接找出之前編譯過的結果,然後把參數動態放進去執行.
⑩ sql預編譯語句就是不執行,怪怪的,求解,急~~
你上面的語句是傳參數查詢嗎?應該是參數沒有傳進去,下面的語句語法沒有錯誤,但是可以返回的查詢結果不是正確的.建議寫成封裝的,不易SQL注入.
比如:
public DataTable SelectAId(pb_list_of_value prep )
{
sql = "SELECT tstand_code from pb_list_of_value where display_value=@display_value and type =@type order by display_value desc ";
sqlpar = new List<SqlParameter>();
sqlpar.Add(newSqlParameter("@display_value",pb_list_of_value.display_value));
DataTable ds=DBHepler.SQLDBHepler.Search(sql,sqlpar,CommandType.Text);
return ds;
}
加粗部分不換行