Вопросы с тегом 'prepared-statement'

Подготовленный отчет (или параметризованный оператор) представляет собой предварительно скомпилированный оператор SQL, который служит для повышения производительности и уменьшения атак SQL-инъекций. Подготовленные утверждения используются во многих популярных системах управления реляционными базами данных.
21

Могу ли я привязать массив к условию IN()?

Мне любопытно узнать, возможно ли связать массив значений с заполнителем, использующим PDO. Здесь используется попытка передать массив значений для использования с условием IN(). Я хотел бы сделать что-то вроде этого: <?php $ids=array(1,2,3,7,8,...
28 мая '09 в 11:17
28

Подготовленные альтернативы предложения AP?

Каковы наилучшие обходные пути для использования предложения SQL IN с экземплярами java.sql.PreparedStatement, который не поддерживается для нескольких значений из-за проблем безопасности SQL-атаки: один ? placeholder представляет одно значение, а н...
07 окт. '08 в 13:41
8

Получить запрос из java.sql.PreparedStatement

В моем коде я использую java.sql.PreparedStatement. Затем я выполняю метод setString() для заполнения подстановочных знаков подготовленного оператора. Есть ли способ получить (и распечатать) окончательный запрос перед вызовом метода executeQuery...
21 апр. '10 в 13:21
9

Как подготовленные заявления защищают от атак SQL-инъекций?

Как подготовленные заявления помогают нам предотвратить атаки SQL injection? Википедия говорит: Подготовленные операторы устойчивы к SQL-инъекции, потому что значения параметров, которые затем передаются с использованием другого протокола, не нужн...
24 нояб. '11 в 23:17
21

PDO Prepared Вставляет несколько строк в один запрос

В настоящее время я использую этот тип SQL для MySQL для вставки нескольких строк значений в один запрос: INSERT INTO `tbl` (`key1`,`key2`) VALUES ('r1v1','r1v2'),('r2v1','r2v2'),... В показаниях PDO использование подготовленных операторов должно ...
24 июл. '09 в 8:11
11

Как я могу получить SQL PreparedStatement?

У меня есть общий метод Java со следующей сигнатурой метода: private static ResultSet runSQLResultSet(String sql, Object... queryParams) Открывает соединение, создает PreparedStatement с помощью оператора sql и параметров в массиве переменной дли...
04 мар. '10 в 20:35
4

Использование подстановочного символа "like" в подготовленном сообщении

Я использую подготовленные операторы для выполнения запросов базы данных mysql. И я хочу реализовать функцию поиска, основанную на ключевом слове. Для этого мне нужно использовать ключевое слово LIKE, что я знаю. И я также использовал подготовленны...
23 нояб. '11 в 19:28
9

Как PreparedStatement предотвращает или предотвращает SQL-инъекцию?

Я знаю, что PreparedStatements избегает/предотвращает внедрение SQL. Как оно это делает? Будет ли окончательный запрос формы, который построен с использованием PreparedStatements, будет строкой или иначе?
17 окт. '09 в 12:58
5

Как использовать подготовленные инструкции в SQlite в Android?

Как использовать подготовленные инструкции в SQlite в Android?
11 янв. '09 в 18:38
2

Повторное использование PreparedStatement несколько раз

в случае использования PreparedStatement с одним общим соединением без какого-либо пула, могу ли я создать экземпляр для каждой операции dml/sql, поддерживающей полномочия подготовленных операторов? Я имею в виду: for (int i=0; i<1000; i++) { ...
18 мар. '10 в 1:55
2

Как получить информацию об ошибках MySQLi в разных средах? /mysqli_fetch_assoc() ожидает, что параметр 1 будет mysqli_result

В моей локальной среде/среде разработки MySQLi-запрос выполняется нормально. Тем не менее, когда я загружаю его в моей среде веб-хостинга, я получаю эту ошибку: Неустранимая ошибка: вызов функции-члена bind_param() для необъекта в... Вот код: glo...
26 мар. '14 в 13:27
6

Java: добавьте несколько строк в MySQL с помощью PreparedStatement

Я хочу вставить несколько строк в таблицу MySQL сразу с помощью Java. Количество строк является динамическим. Раньше я делал... for (String element : array) { myStatement.setString(1, element[0]); myStatement.setString(2, element[1]); m...
04 дек. '10 в 18:20
3

Где мой недопустимый персонаж (ORA-00911)

Я пытаюсь вставить CLOB в базу данных (см. связанный вопрос). Я не могу понять, что случилось. У меня есть список около 85 clobs, которые я хочу вставить в таблицу. Даже при вставке только первого clob я получаю ORA-00911: invalid character. Я не мо...
23 мая '12 в 21:49
5

Пример использования bind_result vs get_result

Я хотел бы увидеть пример того, как звонить с помощью bind_result vs. get_result и какова цель использования одного над другим. Также про и минусы использования каждого. В чем же ограничение использования и есть разница.
12 сент. '13 в 0:02
4

PreparedStatement setNull (..)

Java PreparedStatement предоставляет возможность явно задать значение Null. Эта возможность: prepStmt.setNull(<n>, Types.VARCHAR) Являются ли семантики этого вызова такими же, как при использовании setType с нулевым значением? prepStmt.setS...
31 авг. '09 в 13:18