Вопросы с тегом 'prepared-statement'

Подготовленный отчет (или параметризованный оператор) представляет собой предварительно скомпилированный оператор SQL, который служит для повышения производительности и уменьшения атак SQL-инъекций. Подготовленные утверждения используются во многих популярных системах управления реляционными базами данных.
21
ответ

Могу ли я привязать массив к условию IN()?

Мне любопытно узнать, возможно ли связать массив значений с заполнителем, использующим PDO. Здесь используется попытка передать массив значений для использования с условием IN(). Я хотел бы сделать что-то вроде этого: <?php $ids=array(1,2,3,7,8,...
задан 28 мая '09 в 14:17
27
ответов

Подготовленные альтернативы предложения AP?

Каковы наилучшие обходные пути для использования предложения SQL IN с экземплярами java.sql.PreparedStatement, который не поддерживается для нескольких значений из-за проблем безопасности SQL-атаки: один ? placeholder представляет одно значение, а н...
задан 07 окт. '08 в 16:41
8
ответов

Получить запрос из java.sql.PreparedStatement

В моем коде я использую java.sql.PreparedStatement. Затем я выполняю метод setString() для заполнения подстановочных знаков подготовленного оператора. Есть ли способ получить (и распечатать) окончательный запрос перед вызовом метода executeQuery...
задан 21 апр. '10 в 16:21
9
ответов

Как подготовленные заявления защищают от атак SQL-инъекций?

Как подготовленные заявления помогают нам предотвратить атаки SQL injection? Википедия говорит: Подготовленные операторы устойчивы к SQL-инъекции, потому что значения параметров, которые затем передаются с использованием другого протокола, не нужн...
задан 25 нояб. '11 в 2:17
21
ответ

PDO Prepared Вставляет несколько строк в один запрос

В настоящее время я использую этот тип SQL для MySQL для вставки нескольких строк значений в один запрос: INSERT INTO `tbl` (`key1`,`key2`) VALUES ('r1v1','r1v2'),('r2v1','r2v2'),... В показаниях PDO использование подготовленных операторов должно ...
задан 24 июля '09 в 11:11
11
ответов

Как я могу получить SQL PreparedStatement?

У меня есть общий метод Java со следующей сигнатурой метода: private static ResultSet runSQLResultSet(String sql, Object... queryParams) Открывает соединение, создает PreparedStatement с помощью оператора sql и параметров в массиве переменной дли...
задан 04 марта '10 в 23:35
4
ответов

Использование подстановочного символа "like" в подготовленном сообщении

Я использую подготовленные операторы для выполнения запросов базы данных mysql. И я хочу реализовать функцию поиска, основанную на ключевом слове. Для этого мне нужно использовать ключевое слово LIKE, что я знаю. И я также использовал подготовленны...
задан 23 нояб. '11 в 22:28
9
ответов

Как PreparedStatement предотвращает или предотвращает SQL-инъекцию?

Я знаю, что PreparedStatements избегает/предотвращает внедрение SQL. Как оно это делает? Будет ли окончательный запрос формы, который построен с использованием PreparedStatements, будет строкой или иначе?
задан 17 окт. '09 в 15:58
5
ответов

Как использовать подготовленные инструкции в SQlite в Android?

Как использовать подготовленные инструкции в SQlite в Android?
задан 11 янв. '09 в 21:38
2
ответов

Повторное использование PreparedStatement несколько раз

в случае использования PreparedStatement с одним общим соединением без какого-либо пула, могу ли я создать экземпляр для каждой операции dml/sql, поддерживающей полномочия подготовленных операторов? Я имею в виду: for (int i=0; i<1000; i++) { ...
задан 18 марта '10 в 4:55
5
ответов

Пример использования bind_result vs get_result

Я хотел бы увидеть пример того, как звонить с помощью bind_result vs. get_result и какова цель использования одного над другим. Также про и минусы использования каждого. В чем же ограничение использования и есть разница.
задан 12 сент. '13 в 3:02
4
ответов

PreparedStatement setNull (..)

Java PreparedStatement предоставляет возможность явно задать значение Null. Эта возможность: prepStmt.setNull(<n>, Types.VARCHAR) Являются ли семантики этого вызова такими же, как при использовании setType с нулевым значением? prepStmt.setS...
задан 31 авг. '09 в 16:18
2
ответов

Где мой недопустимый персонаж (ORA-00911)

Я пытаюсь вставить CLOB в базу данных (см. связанный вопрос). Я не могу понять, что случилось. У меня есть список около 85 clobs, которые я хочу вставить в таблицу. Даже при вставке только первого clob я получаю ORA-00911: invalid character. Я не мо...
задан 24 мая '12 в 0:49
15
ответов

PreparedStatement со списком параметров в предложении IN

Как установить значение для предложения in в подготовленном состоянии в JDBC во время выполнения запроса. Пример: connection.prepareStatement("Select * from test where field in (?)"); Если это предложение внутри может содержать несколько значений...
задан 24 июня '10 в 6:26
6
ответов

Java: добавьте несколько строк в MySQL с помощью PreparedStatement

Я хочу вставить несколько строк в таблицу MySQL сразу с помощью Java. Количество строк является динамическим. Раньше я делал... for (String element : array) { myStatement.setString(1, element[0]); myStatement.setString(2, element[1]); m...
задан 04 дек. '10 в 21:20