什麼是sql預編譯

1. 什麼是sql注入如何防止sql注入

SQL注入是一種非常常見的資料庫攻擊手段，同時也是網路世界中最普遍的漏洞之一，簡單理解就是惡意用戶通過在表單中填寫包含SQL關鍵字的數據來使資料庫執行非常規代碼的過程。
問題來源是，SQL資料庫的操作是通過SQL語句來執行的，而無論是執行代碼還是數據項都必須寫在SQL語句中，也就導致如果我們在數據項中加入了某些SQL語句關鍵字，比如SELECT、DROP等，這些關鍵字就很有可能在資料庫寫入或讀取數據時得到執行。
解決方案
方案一：
採用預編譯技術
使用預編譯的SQL語句，SQL語句的語義不會是不會發生改變的。預編譯語句在創建的時候就已經將指定的SQL語句發送給了DBMS，完成了解析，檢查，編譯等工作，所以攻擊者無法改變SQL語句的結構，只是把值賦給?，然後將?這個變數傳給SQL語句。當然還有一些通過預編譯繞過某些安全防護的操作，大家感興趣可以去搜索一下。
方案二：
嚴格控制數據類型
在java、c等強類型語言中一般是不存在數字型注入的，因為在接受到用戶輸入id時，代碼一般會做一個int id 的數據類型轉換，假如我們輸入的是字元串的話，那麼這種情況下，程序就會報錯。但是在PHP、ASP這些沒有強調處理數據類型的語言，一般我們看到的接收id的代碼都是如下等代碼。
方案三：
對特殊的字元進行轉義
數字型注入可以通過檢查數據類型防止，但是字元型不可以，那麼怎麼辦呢，最好的辦法就是對特殊的字元進行轉義了。比如在MySQL中我們可以對" '
"進行轉義，這樣就防止了一些惡意攻擊者來閉合語句。當然我們也可以通過一些安全函數來轉義特殊字元。如addslashes()等，但是這些函數並非一勞永逸，攻擊者還可以通過一些特殊的方式繞過。

2. sql注入漏洞修復方法有什麼

可以嘗試以下方法：

1. 使用帶參數的SQL語句方法
2. 調用存儲過程

好處：

1. 帶參數的SQL語句本意就是用來防止注入式攻擊

2. 存儲過程的話，在資料庫中寫好存儲過程，在VS中進行調用即可

3. ps.executeUpdate(); 是什麼意思

是當成功插入數據到資料庫時候，這個會返回一個大於1的數字，來表明數據成功插入庫之中

sql注入發生的時間，sql注入發生的階段在sql預編譯階段，當編譯完成的sql不會產生sql注入，採用jdbc操作數據時候，preparedStatement 預編譯對象會對傳入sql進行預編譯。

那麼當傳入id 字元串為 "update ft_proposal set id = 3；drop table ft_proposal；" 這種情況下就會導致sql注入刪除ft_proposal這張表。

預編譯語句

處理使用預編譯語句之外，另一種實現方式可以採用存儲過程，存儲過程其實也是預編譯的，存儲過程是sql語句的集合，將所有預編譯的sql語句編譯完成後，存儲在資料庫上。

當傳入的參數為3；drop table user；當執行時可以看見列印的sql語句為：select name from usre where id = ?；不管輸入何種參數時，都可以防止sql注入，因為mybatis底層實現了預編譯。

4. SQL注入預編譯是絕對安全的么

沒錯，存儲過程的確能有效解決SQL注入式攻擊！
理由：因為通常的資料庫訪問方法，都是把訪問數據表的權利賦給程序，注入式攻擊者通過你的程序漏洞判斷和獲得更多的信息，並利用你賦給程序的訪問和操作權，輕者破壞本表數據，重者毀壞整個資料庫！
使用存儲過程則完全不同，程序中不必再有SQL語句，因此程序不必擁有訪問和操作數據表的許可權，只把運行存儲過程的許可權交給程序。程序只是把參數和存儲過程名告訴資料庫，然後等待結果就行了，注入式攻擊者要想運行存儲過程，就必需猜對存儲過程名，並且還要猜對參數個數、參數名和參數的順序，同時滿足這些條件太難了，即便所以條件都滿足，那麼攻擊者也只是往數據表裡存了一組合法數據而已，不會導致其它破壞。
因此，通過存儲過程能從根本上解決注入式攻擊。
需要注意的是，使用存儲過程後，應把原來交給程序的操作數據表的許可權收回，否則就象為了防小偷鎖了前門，卻開著後門一樣。

5. c#怎麼預編譯SQL語句，就是像Java裡面那個PreparedStatement那樣的，不知道C#哪個類是對應的

PreparedStatement.setXXX(index,Value);
本來就是設定值的。
建議設定欄位還是使用+。
String List<X> getList(List<String> field){
String fieldList="";
StringBuffer buf=new StringBuffer().append(SELECT ");
for(oint i=0;i<field.size();i++){
buf.append(f)；
if(i!=field.size()-1) buf.append(",");
}
buf.append(" FROM table");
...
}

6. sql是解釋型語言還是編譯型語言

結構化查詢語言（Structured Query Language）簡稱SQL，是一種特殊目的的編程語言，是一種資料庫查詢和程序設計語言，用於存取數據以及查詢、更新和管理關系資料庫系統。

結構化查詢語言是高級的非過程化編程語言，允許用戶在高層數據結構上工作。它不要求用戶指定對數據的存放方法，也不需要用戶了解具體的數據存放方式，所以具有完全不同底層結構的不同資料庫系統, 可以使用相同的結構化查詢語言作為數據輸入與管理的介面。結構化查詢語言語句可以嵌套，這使它具有極大的靈活性和強大的功能。

SQL從功能上可以分為3部分：數據定義、數據操縱和數據控制。

SQL的核心部分相當於關系代數，但又具有關系代數所沒有的許多特點，如聚集、資料庫更新等。它是一個綜合的、通用的、功能極強的關系資料庫語言。其特點是：

1、數據描述、操縱、控制等功能一體化。

2、兩種使用方式，統一的語法結構。SQL有兩種使用方式。一是聯機交互使用，這種方式下的SQL實際上是作為自含型語言使用的。另一種方式是嵌入到某種高級程序設計語言(如C語言等)中去使用。前一種方式適合於非計算機專業人員使用，後一種方式適合於專業計算機人員使用。盡管使用方式不向，但所用語言的語法結構基本上是一致的。

3、高度非過程化。SQL是一種第四代語言(4GL)，用戶只需要提出「干什麼」，無須具體指明「怎麼干」，像存取路徑選擇和具體處理操作等均由系統自動完成。

4、語言簡潔，易學易用。盡管SQL的功能很強，但語言十分簡潔，核心功能只用了9個動詞。SQL的語法接近英語口語，所以，用戶很容易學習和使用。

7. C語言:預編譯是什麼

預編譯，顧名思義，從字面上看，就是提前編譯，它做的是工作就是為正式編譯做准備
它說處理的是有#標識的代碼，如講include的文件進行拷貝、#define的條件編譯等等！關於預編譯的介紹你可以到網路里進行查看，裡面有詳細的介紹！http://ke..com/view/176610.htm

8. sql中帶有like時如何使用預編譯

like語句實際上就是模糊的欄位查詢，通常與「%」(一個或多個)結合使用。
舉例說明：
sql:SELECT * FROM tablename T WHERE T.name LIKE '%zhang%';
解釋：以上語句就就是查詢出tablename表中name欄位帶有「zhang」的所有記錄。

備註：存儲過程中用"||"表示連接符，用單引號(「'」)表示字元連接。
SELECT * FROM tablename T WHERE T.name LIKE '%'||'zhang'||'%'.

9. pstmt = conn.prepareStatement(sql);是什麼意思

pstmt = conn.prepareStatement（sql）是執行SQL語句的一個介面。但是執行前會對SQL語句進行預編譯的操作，然後就開始執行SQL語句，並把結果賦值給pstmt。conn的意思是一個資料庫連接。

PreparedStatement是Statement的子介面，表示預編譯的 SQL 語句的對象，SQL 語句被預編譯並存儲在PreparedStatement對象中。然後可以使用此對象多次高效地執行該語句。如果有參數的話還需要添加輸入的參數。

(9)什麼是sql預編譯擴展閱讀：

資料庫建立連接的五大步驟：

1、載入（注冊）資料庫

裝載驅動程序只需要非常簡單的一行代碼。例如，你想要使用 JDBC-ODBC 橋驅動程序，可以用下列代碼裝載它：Class.forName("sun.jdbc.odbc.JdbcOdbcDriver")。

你的驅動程序文檔將告訴你應該使用的類名。例如， 如果類名是 jdbc.DriverXYZ ，你將用代碼以下的代碼裝載驅動程序：Class.forName（"jdbc.DriverXYZ"）。

你不需要創建一個驅動程序類的實例並且用 DriverManager 登記它，因為調用 Class.forName 將自動將載入驅動程序類。載入 Driver 類後，它們即可用來與資料庫建立連接。

2 、建立鏈接

第二步就是用適當的驅動程序類與 DBMS 建立一個連接。下列代碼是一般的做法：

Connection con = DriverManager.getConnection（url，"myLogin"，"myPassword"）

3 、執行SQL語句

我們使用 executeUpdate 方法是因為在 createTableCoffees 中的 SQL 語句是 DDL （數據定義語言）語句。創建表，改變表，刪除表都是 DDL 語句的例子，要用 executeUpdate 方法來執行。

4、 處理結果集

5 、關閉資料庫

參考資料來源：網路-Java資料庫連接

10. 靜態的SQL 和動態的SQL有什麼區別

• 靜態 SQL：靜態 SQL 語句一般用於嵌入式 SQL 應用中，在程序運行前，SQL 語句必須是確定的，例如 SQL 語句中涉及的列名和表名必須是存在的。靜態 SQL 語句的編譯是在應用程序運行前進行的，編譯的結果會存儲在資料庫內部。而後程序運行時，資料庫將直接執行編譯好的 SQL 語句，降低運行時的開銷。

  
  

• 動態 SQL：動態 SQL 語句是在應用程序運行時被編譯和執行的，例如，使用 DB2 的互動式工具 CLP 訪問資料庫時，用戶輸入的 SQL 語句是不確定的，因此 SQL 語句只能被動態地編譯。動態 SQL 的應用較多，常見的 CLI 和 JDBC 應用程序都使用動態 SQL。