預編譯SQL舉例

1. sql注入的防範 使用預編譯語句

預編譯語句PreparedStatement是 java.sql中的一個介面，繼承自Statement 介面。通過Statement對象執行SQL語句時，需要將SQL語句發送給DBMS，由 DBMS先進行編譯後再執行。而預編譯語句和Statement不同，在創建PreparedStatement對象時就指定了SQL語句，該語句立即發送給DBMS進行編譯，當該編譯語句需要被執行時，DBMS直接運行編譯後的SQL語句，而不需要像其他SQL語句那樣先將其編譯。引發SQL注入的根本原因是惡意用戶將SQL指令偽裝成參數傳遞到後端資料庫執行。作為一種更為安全的動態字元串的構建方法，預編譯語句使用參數佔位符來替代需要動態傳入的參數，這樣攻擊者無法改變SQL語句的結構，SQL語句的語義不會發生改變，即便用戶傳入類似於前面' or '1'='1這樣的字元串，資料庫也會將其作為普通的字元串來處理。

2. 預編譯sql語句就sql綁定變數嗎

1. 認識綁定變數：

綁定變數是為了減少解析的，比如你有個語句這樣
select aaa,bbb from ccc where ddd=eee;
如果經常通過改變eee這個謂詞賦值來查詢，像如下
select aaa,bbb from ccc where ddd=fff;
select aaa,bbb from ccc where ddd=ggg;
select aaa,bbb from ccc where ddd=hhh;
每條語句都要被資料庫解析一次，這樣比較浪費資源，如果把eee換成「:1」這樣的綁定變數形式，無論ddd後面是什麼值，都不需要重復解析

Java實現綁定變數的方法：
[java] view plain
PreparedStatement pstmt = con.prepareStatement("UPDATE employees SET salay = ? WHERE id = ?");
pstmt.setBigDecimal(1, 15.00);
pstmt.setInt(2, 110592);
/result statmement: UPDATE employees SET salay = 15.00 WHERE id = 110592
pstmt.executeQuery();

假設要將id從1到10000的員工的工資都更新為150.00元，不使用綁定變數，則：
[java] view plain
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 1");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 2");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 3");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 4");
....
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 10000");
使用綁定變數，則：
[java] view plain
PreparedStatement pstmt;
for (id = 1; id < 10000; id )
{
if (null == pstmt)
pstmt = con.prepareStatement("UPDATE employees SET salay = ? WHERE id = ?");
pstmt.setBigDecimal(1, 150.00);
pstmt.setInt(2, id);
pstmt.executeQuery();
}
二者區別在於，不用綁定變數，則相當於反復解析、執行了1w個sql語句。使用綁定變數，解析sql語句只用了一次，之後的9999次復用第一次生成的執行計劃。顯然，後者效率會更高一些。
2. 什麼時候不應該/不必要使用綁定變數
a. 如果你用數據倉庫，一條大查詢一跑幾個小時，根本沒必要做綁定變數，因為解析的消耗微乎其微。
b. 變數對優化器產生執行計劃有很重要的影響的時候：綁定變數被使用時，查詢優化器會忽略其具體值，因此其預估的准確性遠不如使用字面量值真實，尤其是在表存在數據傾斜(表上的數據非均勻分布)的列上會提供錯誤的執行計劃。從而使得非高效的執行計劃被使用。

3. 綁定變數在OceanBase中的實現
目
前OceanBase中實現了綁定變數，目的主要是為了編程方便，而不是為了降低生成執行計劃的代價。為什麼呢？因為OceanBase中目前使用的是一
種」靜態執行計劃「，無論什麼Query，執行流程都一樣。OB在前端代理ObConnector中實現綁定變數，將用戶傳入的變數進行
to_string()操作，替代SQL語句中相應的部分，形成一個完整的SQL。然後這個SQL傳遞給MS，MS按照標准流程來解析和執行。相信不遠的
將來，OB將會實現真正意義上的綁定變數，讓用戶享受到綁定變數帶來的好處。

3. sql 存儲過程是怎麼實現的 簡單的例子和解釋！

存儲過程就是一組保存在資料庫中的sql語句，在需要的時候可以調用

最簡單的，比如

create procere test as
delete from t_1; ---刪除t_1表的所有記錄
在sql server查詢分析器執行時：

exec test; --執行過程test，刪除了表t_1的所有記錄

當然，沒有人這樣使用存儲過程，存儲過程可以接受參數，處理大量sql語句，並返回結果。
當在編寫軟體的過程中，碰到需要進行復雜的資料庫操作時，可能需要大量的sql語句，這時候可以先在資料庫中創建存儲過程，將sql語句都寫在存儲過程里，可以視情況加入參數，也可以返回處理結果。編寫軟體時，在適當的地方引用並執行這個存儲過程就好了，至於怎麼引用，不同的軟體開發語言有不同的語法。
存儲過程是預編譯的，這樣可以提高執行效率，對於軟體代碼的維護也有好處

4. SQL語句問題：存儲過程定義是什麼什麼時候用它作用是什麼怎樣寫，來個實例！

定義：存儲過程是一組為了完成特定功能的SQL語句集，是利用SQL Server所提供的Transact-SQL語言所編寫的程序。作用：將常用或復雜的工作，預先用SQL語句寫好並用一個指定名稱存儲起來， 以後需要資料庫提供與已定義好的存儲過程的功能相同的服務時，只需調用execute,即可自動完成命令。什麼時候用：提高資料庫執行速度，對資料庫進行復雜操作，重復使用,安全要求高例子： CREATE PROCEDURE order_tot_amt @o_id int, @p_tot int output AS SELECT @p_tot = sum(Unitprice*Quantity) FROM orderdetails WHERE ordered=@o_id GO

5. sql中帶有like時如何使用預編譯

like語句實際上就是模糊的欄位查詢，通常與「%」(一個或多個)結合使用。
舉例說明：
sql:SELECT * FROM tablename T WHERE T.name LIKE '%zhang%';
解釋：以上語句就就是查詢出tablename表中name欄位帶有「zhang」的所有記錄。

備註：存儲過程中用"||"表示連接符，用單引號(「'」)表示字元連接。
SELECT * FROM tablename T WHERE T.name LIKE '%'||'zhang'||'%'.

6. sql預編譯語句就是不執行，怪怪的，求解，急～～

DataSource dataSource = new DataSource(); // 實例化Datasource
QueryRunner runQuery = new QueryRunner(dataSource);
runQuery.batch(sql,object); // sql : "DELETE FROM english WHERE id = ? " 預編譯
Object 是一個二維數組 對應你要刪除的值希望有幫助！可以到CSDN,IT實驗室,365testing

7. c#怎麼預編譯SQL語句，就是像Java裡面那個PreparedStatement那樣的，不知道C#哪個類是對應的

C# 連接各種資料庫
sql server資料庫 ：SqlParameter
eg: SqlParameter sPar=new SqlParameter("@name",value);

8. sql預編譯語句就是不執行，怪怪的，求解，急～～

你上面的語句是傳參數查詢嗎？應該是參數沒有傳進去，下面的語句語法沒有錯誤，但是可以返回的查詢結果不是正確的.建議寫成封裝的，不易SQL注入.
比如：
public DataTable SelectAId(pb_list_of_value prep )
{
sql = "SELECT tstand_code from pb_list_of_value where display_value=@display_value and type =@type order by display_value desc ";
sqlpar = new List<SqlParameter>();
sqlpar.Add(newSqlParameter("@display_value",pb_list_of_value.display_value));
DataTable ds=DBHepler.SQLDBHepler.Search(sql,sqlpar,CommandType.Text);
return ds;
}
加粗部分不換行