Вопросы с тегом «prepared-statement»

Подготовленный оператор (или параметризованный оператор) - это предварительно скомпилированный оператор SQL, который служит для повышения производительности и смягчения атак с использованием SQL-инъекций. Подготовленные операторы используются во многих популярных системах управления реляционными базами данных.

562
Могу ли я связать массив с условием IN ()?

Мне любопытно узнать, возможно ли привязать массив значений к заполнителю с помощью PDO. Вариант использования здесь пытается передать массив значений для использования с IN()условием. Я хотел бы иметь возможность сделать что-то вроде этого: <?php $ids=array(1,2,3,7,8,9); $db = new PDO(...);...

343
PreparedStatement IN предложение альтернативы?

Каковы наилучшие обходные пути для использования предложения SQL INс экземплярами java.sql.PreparedStatement, которое не поддерживается для нескольких значений из-за проблем безопасности атаки SQL-инъекцией: один ?заполнитель представляет одно значение, а не список значений. Рассмотрим следующий...

176
Использование подстановочного знака «как» в подготовленном утверждении

Я использую подготовленные операторы для выполнения запросов к базе данных MySQL. И я хочу реализовать функцию поиска на основе своего рода ключевого слова. Для этого мне нужно использовать LIKEключевое слово, это я много знаю. И я также использовал подготовленные заявления раньше, но я не знаю ,...

172
Как подготовленные операторы могут защитить от атак SQL-инъекций?

Как подготовленные операторы помогают нам предотвратить атаки с использованием SQL-инъекций ? Википедия говорит: Подготовленные операторы устойчивы к внедрению SQL, потому что значения параметров, которые передаются позже с использованием другого протокола, не должны быть корректно экранированы....

160
Как я могу получить SQL PreparedStatement?

У меня есть общий метод Java со следующей сигнатурой метода: private static ResultSet runSQLResultSet(String sql, Object... queryParams) Он открывает соединение, создает с PreparedStatementпомощью оператора sql и параметров в queryParamsмассиве переменной длины, запускает его, кэширует ResultSet(в...

146
PDO Prepared Вставляет несколько строк в одном запросе

В настоящее время я использую этот тип SQL на MySQL, чтобы вставить несколько строк значений в один запрос: INSERT INTO `tbl` (`key1`,`key2`) VALUES ('r1v1','r1v2'),('r2v1','r2v2'),... В чтениях по PDO операторы, подготовленные к использованию, должны обеспечить мне большую безопасность, чем...

111
mysqli_fetch_assoc () ожидает ошибок параметра / вызова функции-члена bind_param (). Как получить актуальную ошибку mysql и исправить ее?

В моей локальной среде / среде разработки запрос MySQLi выполняется нормально. Однако, когда я загружаю его в среду своего веб-хоста, я получаю эту ошибку: Неустранимая ошибка: вызов функции-члена bind_param () для не-объекта в ... Вот код: global $mysqli; $stmt = $mysqli->prepare("SELECT id,...

97
Повторное использование PreparedStatement несколько раз

в случае использования PreparedStatement с одним общим соединением без какого-либо пула, могу ли я воссоздать экземпляр для каждой операции dml / sql, сохраняя мощность подготовленных операторов? Я имею в виду: for (int i=0; i<1000; i++) { PreparedStatement preparedStatement =...

88
Java: вставьте несколько строк в MySQL с помощью PreparedStatement

Я хочу вставить сразу несколько строк в таблицу MySQL с помощью Java. Количество строк динамическое. Раньше я делал ... for (String element : array) { myStatement.setString(1, element[0]); myStatement.setString(2, element[1]); myStatement.executeUpdate(); } Я хотел бы оптимизировать это, чтобы...

86
PreparedStatement setNull (..)

Java PreparedStatement предоставляет возможность явно установить значение Null. Эта возможность: prepStmt.setNull(parameterIndex, Types.VARCHAR); Семантика этого вызова такая же, как при использовании определенного setType с нулевым параметром? prepStmt.setString(null); ?...

84
Пример использования bind_result vs get_result

Я хотел бы увидеть пример того, как вызвать using bind_resultvs. get_resultи какова будет цель использования одного над другим. Также плюсы и минусы использования каждого. Какие ограничения в использовании и есть ли разница....

9
Оптимизация JDBC Oracle: включить кэширование PreparedStatement в загрузочном приложении Spring

У меня есть приложение Spring Boot REST, которое подключено к базе данных Oracle. Мы используем JDBC, используя JdbcTemplate. Свойства базы данных Oracle получаются через эти 3 настройки application.properties : spring.datasource.url spring.datasource.username spring.datasource.password Это...