sql预编译语句

❶ sql预编译语句就是不执行，怪怪的，求解，急～～

你上面的语句是传参数查询吗？应该是参数没有传进去，下面的语句语法没有错误，但是可以返回的查询结果不是正确的.建议写成封装的，不易SQL注入.
比如：
public DataTable SelectAId(pb_list_of_value prep )
{
sql = "SELECT tstand_code from pb_list_of_value where display_value=@display_value and type =@type order by display_value desc ";
sqlpar = new List<SqlParameter>();
sqlpar.Add(newSqlParameter("@display_value",pb_list_of_value.display_value));
DataTable ds=DBHepler.SQLDBHepler.Search(sql,sqlpar,CommandType.Text);
return ds;
}
加粗部分不换行

❷ sql预编译语句就是不执行，怪怪的，求解，急～～

DataSource dataSource = new DataSource(); // 实例化Datasource
QueryRunner runQuery = new QueryRunner(dataSource);
runQuery.batch(sql,object); // sql : "DELETE FROM english WHERE id = ? " 预编译
Object 是一个二维数组 对应你要删除的值希望有帮助！可以到CSDN,IT实验室,365testing

❸ sql中带有like时如何使用预编译

like语句实际上就是模糊的字段查询，通常与“%”(一个或多个)结合使用。
举例说明：
sql:SELECT * FROM tablename T WHERE T.name LIKE '%zhang%';
解释：以上语句就就是查询出tablename表中name字段带有“zhang”的所有记录。

备注：存储过程中用"||"表示连接符，用单引号(“'”)表示字符连接。
SELECT * FROM tablename T WHERE T.name LIKE '%'||'zhang'||'%'.

❹ 数据库预编译语句in(查询条件)，如果查询条件只有一个，可以运行，如果多个条件，则不能运行，为什么

你这个是把usercode的值作为变量给了语句里的？

这时候就有个问题
你的userCode是string类型的数组吧。。。
那么传进去的应该是'10086','10087'

如果不是这个问题你就在执行SQL语句之前先输出一下语句 日志里看看是哪里格式不对了

❺ 预编译sql语句就sql绑定变量吗

1. 认识绑定变量：

绑定变量是为了减少解析的，比如你有个语句这样
select aaa,bbb from ccc where ddd=eee;
如果经常通过改变eee这个谓词赋值来查询，像如下
select aaa,bbb from ccc where ddd=fff;
select aaa,bbb from ccc where ddd=ggg;
select aaa,bbb from ccc where ddd=hhh;
每条语句都要被数据库解析一次，这样比较浪费资源，如果把eee换成“:1”这样的绑定变量形式，无论ddd后面是什么值，都不需要重复解析

java实现绑定变量的方法：
[java] view plain
PreparedStatement pstmt = con.prepareStatement("UPDATE employees SET salay = ? WHERE id = ?");
pstmt.setBigDecimal(1, 15.00);
pstmt.setInt(2, 110592);
/result statmement: UPDATE employees SET salay = 15.00 WHERE id = 110592
pstmt.executeQuery();

假设要将id从1到10000的员工的工资都更新为150.00元，不使用绑定变量，则：
[java] view plain
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 1");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 2");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 3");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 4");
....
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 10000");
使用绑定变量，则：
[java] view plain
PreparedStatement pstmt;
for (id = 1; id < 10000; id )
{
if (null == pstmt)
pstmt = con.prepareStatement("UPDATE employees SET salay = ? WHERE id = ?");
pstmt.setBigDecimal(1, 150.00);
pstmt.setInt(2, id);
pstmt.executeQuery();
}
二者区别在于，不用绑定变量，则相当于反复解析、执行了1w个sql语句。使用绑定变量，解析sql语句只用了一次，之后的9999次复用第一次生成的执行计划。显然，后者效率会更高一些。
2. 什么时候不应该/不必要使用绑定变量
a. 如果你用数据仓库，一条大查询一跑几个小时，根本没必要做绑定变量，因为解析的消耗微乎其微。
b. 变量对优化器产生执行计划有很重要的影响的时候：绑定变量被使用时，查询优化器会忽略其具体值，因此其预估的准确性远不如使用字面量值真实，尤其是在表存在数据倾斜(表上的数据非均匀分布)的列上会提供错误的执行计划。从而使得非高效的执行计划被使用。

3. 绑定变量在OceanBase中的实现
目
前OceanBase中实现了绑定变量，目的主要是为了编程方便，而不是为了降低生成执行计划的代价。为什么呢？因为OceanBase中目前使用的是一
种”静态执行计划“，无论什么Query，执行流程都一样。OB在前端代理ObConnector中实现绑定变量，将用户传入的变量进行
to_string()操作，替代SQL语句中相应的部分，形成一个完整的SQL。然后这个SQL传递给MS，MS按照标准流程来解析和执行。相信不远的
将来，OB将会实现真正意义上的绑定变量，让用户享受到绑定变量带来的好处。

❻ 什么是sql注入如何防止sql注入

SQL注入是一种非常常见的数据库攻击手段，同时也是网络世界中最普遍的漏洞之一，简单理解就是恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。
问题来源是，SQL数据库的操作是通过SQL语句来执行的，而无论是执行代码还是数据项都必须写在SQL语句中，也就导致如果我们在数据项中加入了某些SQL语句关键字，比如SELECT、DROP等，这些关键字就很有可能在数据库写入或读取数据时得到执行。
解决方案
方案一：
采用预编译技术
使用预编译的SQL语句，SQL语句的语义不会是不会发生改变的。预编译语句在创建的时候就已经将指定的SQL语句发送给了DBMS，完成了解析，检查，编译等工作，所以攻击者无法改变SQL语句的结构，只是把值赋给?，然后将?这个变量传给SQL语句。当然还有一些通过预编译绕过某些安全防护的操作，大家感兴趣可以去搜索一下。
方案二：
严格控制数据类型
在java、c等强类型语言中一般是不存在数字型注入的，因为在接受到用户输入id时，代码一般会做一个int id 的数据类型转换，假如我们输入的是字符串的话，那么这种情况下，程序就会报错。但是在PHP、ASP这些没有强调处理数据类型的语言，一般我们看到的接收id的代码都是如下等代码。
方案三：
对特殊的字符进行转义
数字型注入可以通过检查数据类型防止，但是字符型不可以，那么怎么办呢，最好的办法就是对特殊的字符进行转义了。比如在MySQL中我们可以对" '
"进行转义，这样就防止了一些恶意攻击者来闭合语句。当然我们也可以通过一些安全函数来转义特殊字符。如addslashes()等，但是这些函数并非一劳永逸，攻击者还可以通过一些特殊的方式绕过。

❼ c#怎么预编译SQL语句，就是像Java里面那个PreparedStatement那样的，不知道C#哪个类是对应的

C# 连接各种数据库
sql server数据库 ：SqlParameter
eg: SqlParameter sPar=new SqlParameter("@name",value);

❽ oracle 存储过程中的sql语句可以象java一样写成预编译吗

如果加载一些内容，加载设置算的话，可以的，就是格式语言啥的不一样