预编译sql怎么样

Ⅰ 什么是sql注入如何防止sql注入

SQL注入是一种非常常见的数据库攻击手段，同时也是网络世界中最普遍的漏洞之一，简单理解就是恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。
问题来源是，SQL数据库的操作是通过SQL语句来执行的，而无论是执行代码还是数据项都必须写在SQL语句中，也就导致如果我们在数据项中加入了某些SQL语句关键字，比如SELECT、DROP等，这些关键字就很有可能在数据库写入或读取数据时得到执行。
解决方案
方案一：
采用预编译技术
使用预编译的SQL语句，SQL语句的语义不会是不会发生改变的。预编译语句在创建的时候就已经将指定的SQL语句发送给了DBMS，完成了解析，检查，编译等工作，所以攻击者无法改变SQL语句的结构，只是把值赋给?，然后将?这个变量传给SQL语句。当然还有一些通过预编译绕过某些安全防护的操作，大家感兴趣可以去搜索一下。
方案二：
严格控制数据类型
在java、c等强类型语言中一般是不存在数字型注入的，因为在接受到用户输入id时，代码一般会做一个int id 的数据类型转换，假如我们输入的是字符串的话，那么这种情况下，程序就会报错。但是在PHP、ASP这些没有强调处理数据类型的语言，一般我们看到的接收id的代码都是如下等代码。
方案三：
对特殊的字符进行转义
数字型注入可以通过检查数据类型防止，但是字符型不可以，那么怎么办呢，最好的办法就是对特殊的字符进行转义了。比如在MySQL中我们可以对" '
"进行转义，这样就防止了一些恶意攻击者来闭合语句。当然我们也可以通过一些安全函数来转义特殊字符。如addslashes()等，但是这些函数并非一劳永逸，攻击者还可以通过一些特殊的方式绕过。

Ⅱ SQL注入的防范 使用预编译语句

预编译语句PreparedStatement是 java.sql中的一个接口，继承自Statement 接口。通过Statement对象执行SQL语句时，需要将SQL语句发送给DBMS，由 DBMS先进行编译后再执行。而预编译语句和Statement不同，在创建PreparedStatement对象时就指定了SQL语句，该语句立即发送给DBMS进行编译，当该编译语句需要被执行时，DBMS直接运行编译后的SQL语句，而不需要像其他SQL语句那样先将其编译。引发SQL注入的根本原因是恶意用户将SQL指令伪装成参数传递到后端数据库执行。作为一种更为安全的动态字符串的构建方法，预编译语句使用参数占位符来替代需要动态传入的参数，这样攻击者无法改变SQL语句的结构，SQL语句的语义不会发生改变，即便用户传入类似于前面' or '1'='1这样的字符串，数据库也会将其作为普通的字符串来处理。

Ⅲ SQL注入预编译是绝对安全的么

没错，存储过程的确能有效解决SQL注入式攻击！
理由：因为通常的数据库访问方法，都是把访问数据表的权利赋给程序，注入式攻击者通过你的程序漏洞判断和获得更多的信息，并利用你赋给程序的访问和操作权，轻者破坏本表数据，重者毁坏整个数据库！
使用存储过程则完全不同，程序中不必再有SQL语句，因此程序不必拥有访问和操作数据表的权限，只把运行存储过程的权限交给程序。程序只是把参数和存储过程名告诉数据库，然后等待结果就行了，注入式攻击者要想运行存储过程，就必需猜对存储过程名，并且还要猜对参数个数、参数名和参数的顺序，同时满足这些条件太难了，即便所以条件都满足，那么攻击者也只是往数据表里存了一组合法数据而已，不会导致其它破坏。
因此，通过存储过程能从根本上解决注入式攻击。
需要注意的是，使用存储过程后，应把原来交给程序的操作数据表的权限收回，否则就象为了防小偷锁了前门，却开着后门一样。

Ⅳ 动态表名组装的sql，还能预编译吗

当然可以，就和你正常的一样

sql = "select sms_mt_send_detail"+day+" detail inner join .... where detail.user_mobile = ? and ...."

PreparedStatement stat = con.prepareStatement(sql);
stat.setString(1,table); -- 设置参数
...

Ⅳ 预编译SQL语句的使用问题

void setString(int parameterIndex,
String x)

PreparedStatement pstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?");
pstmt 对象包含语句 "UPDATE table4 SET m = ? WHERE x = ?"，它已发送给DBMS，并为执行作好了准备。
2、传递 IN 参数
在执行 PreparedStatement 对象之前，必须设置每个 ? 参数的值。这可通过调用 setXXX 方法来完成，其中 XXX 是与该参数相应的类型。例如，如果参数具有Java 类型 long，则使用的方法就是 setLong。setXXX 方法的第一个参数是要设置的参数的序数位置，第二个参数是设置给该参数的值。例如，以下代码将第一个参数设为 123456789，第二个参数设为 100000000：
pstmt.setLong(1, 123456789);
pstmt.setLong(2, 100000000);
一旦设置了给定语句的参数值，就可用它多次执行该语句，直到调用clearParameters 方法清除它为止。在连接的缺省模式下（启用自动提交），当语句完成时将自动提交或还原该语句。
如果基本数据库和驱动程序在语句提交之后仍保持这些语句的打开状态，则同一个 PreparedStatement 可执行多次。如果这一点不成立，那么试图通过使用PreparedStatement 对象代替 Statement 对象来提高性能是没有意义的。
利用 pstmt（前面创建的 PreparedStatement 对象），以下代码例示了如何设置两个参数占位符的值并执行 pstmt 10 次。如上所述，为做到这一点，数据库不能关闭 pstmt。在该示例中，第一个参数被设置为 "Hi"并保持为常数。在 for 循环中，每次都将第二个参数设置为不同的值：从 0 开始，到 9 结束。
pstmt.setString(1, "Hi");
for (int i = 0; i < 10; i++) {
pstmt.setInt(2, i);
int rowCount = pstmt.executeUpdate();
}

Ⅵ 用预编译的方式查询是不是能够杜绝SQL注入

是的，预编译有个类是PreparedStatement.
这个类的对象是通过参数？来传值的
例：
String sql = "select * from table where id = ?";
Connection con = .....///这里得到是数据库的连接
PreparedStatement ps = con.prepareStatement(sql);
ps.setInt(1,id);//这里的数据库语句所用到的参数要被设置的，如果你传入了错的值，或不同类型的值，它在插入到数据库语句中会编译不通过，这也就防止了SQL注入。

Ⅶ 预编译sql语句就sql绑定变量吗

1. 认识绑定变量：

绑定变量是为了减少解析的，比如你有个语句这样
select aaa,bbb from ccc where ddd=eee;
如果经常通过改变eee这个谓词赋值来查询，像如下
select aaa,bbb from ccc where ddd=fff;
select aaa,bbb from ccc where ddd=ggg;
select aaa,bbb from ccc where ddd=hhh;
每条语句都要被数据库解析一次，这样比较浪费资源，如果把eee换成“:1”这样的绑定变量形式，无论ddd后面是什么值，都不需要重复解析

Java实现绑定变量的方法：
[java] view plain
PreparedStatement pstmt = con.prepareStatement("UPDATE employees SET salay = ? WHERE id = ?");
pstmt.setBigDecimal(1, 15.00);
pstmt.setInt(2, 110592);
/result statmement: UPDATE employees SET salay = 15.00 WHERE id = 110592
pstmt.executeQuery();

假设要将id从1到10000的员工的工资都更新为150.00元，不使用绑定变量，则：
[java] view plain
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 1");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 2");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 3");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 4");
....
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 10000");
使用绑定变量，则：
[java] view plain
PreparedStatement pstmt;
for (id = 1; id < 10000; id )
{
if (null == pstmt)
pstmt = con.prepareStatement("UPDATE employees SET salay = ? WHERE id = ?");
pstmt.setBigDecimal(1, 150.00);
pstmt.setInt(2, id);
pstmt.executeQuery();
}
二者区别在于，不用绑定变量，则相当于反复解析、执行了1w个sql语句。使用绑定变量，解析sql语句只用了一次，之后的9999次复用第一次生成的执行计划。显然，后者效率会更高一些。
2. 什么时候不应该/不必要使用绑定变量
a. 如果你用数据仓库，一条大查询一跑几个小时，根本没必要做绑定变量，因为解析的消耗微乎其微。
b. 变量对优化器产生执行计划有很重要的影响的时候：绑定变量被使用时，查询优化器会忽略其具体值，因此其预估的准确性远不如使用字面量值真实，尤其是在表存在数据倾斜(表上的数据非均匀分布)的列上会提供错误的执行计划。从而使得非高效的执行计划被使用。

3. 绑定变量在OceanBase中的实现
目
前OceanBase中实现了绑定变量，目的主要是为了编程方便，而不是为了降低生成执行计划的代价。为什么呢？因为OceanBase中目前使用的是一
种”静态执行计划“，无论什么Query，执行流程都一样。OB在前端代理ObConnector中实现绑定变量，将用户传入的变量进行
to_string()操作，替代SQL语句中相应的部分，形成一个完整的SQL。然后这个SQL传递给MS，MS按照标准流程来解析和执行。相信不远的
将来，OB将会实现真正意义上的绑定变量，让用户享受到绑定变量带来的好处。