Вопросы с тегом «prepared-statement»

Мне любопытно узнать, возможно ли привязать массив значений к заполнителю с помощью PDO. Вариант использования здесь пытается передать массив значений для использования с IN()условием. Я хотел бы иметь возможность сделать что-то вроде этого: <?php $ids=array(1,2,3,7,8,9); $db = new PDO(...); $stmt = $db->prepare( 'SELECT * FROM table WHERE id IN(:an_array)' ); …

562 php  arrays  pdo  prepared-statement  where-in 

Каковы наилучшие обходные пути для использования предложения SQL INс экземплярами java.sql.PreparedStatement, которое не поддерживается для нескольких значений из-за проблем безопасности атаки SQL-инъекцией: один ?заполнитель представляет одно значение, а не список значений. Рассмотрим следующий оператор SQL: SELECT my_column FROM my_table where search_column IN (?) Использование preparedStatement.setString( 1, "'A', 'B', 'C'" );по …

343 java  security  jdbc  prepared-statement  in-clause 

Я использую подготовленные операторы для выполнения запросов к базе данных MySQL. И я хочу реализовать функцию поиска на основе своего рода ключевого слова. Для этого мне нужно использовать LIKEключевое слово, это я много знаю. И я также использовал подготовленные заявления раньше, но я не знаю , как использовать его с …

176 java  mysql  jdbc  prepared-statement 

Как подготовленные операторы помогают нам предотвратить атаки с использованием SQL-инъекций ? Википедия говорит: Подготовленные операторы устойчивы к внедрению SQL, потому что значения параметров, которые передаются позже с использованием другого протокола, не должны быть корректно экранированы. Если исходный шаблон оператора не является производным от внешнего ввода, внедрение SQL невозможно. Я не …

172 sql  security  sql-injection  prepared-statement 

У меня есть общий метод Java со следующей сигнатурой метода: private static ResultSet runSQLResultSet(String sql, Object... queryParams) Он открывает соединение, создает с PreparedStatementпомощью оператора sql и параметров в queryParamsмассиве переменной длины, запускает его, кэширует ResultSet(в a CachedRowSetImpl), закрывает соединение и возвращает кэшированный набор результатов. У меня есть обработка исключений в …

160 java  sql  jdbc  prepared-statement 

В настоящее время я использую этот тип SQL на MySQL, чтобы вставить несколько строк значений в один запрос: INSERT INTO `tbl` (`key1`,`key2`) VALUES ('r1v1','r1v2'),('r2v1','r2v2'),... В чтениях по PDO операторы, подготовленные к использованию, должны обеспечить мне большую безопасность, чем статические запросы. Поэтому я хотел бы знать, возможно ли сгенерировать «вставку нескольких …

146 php  pdo  insert  prepared-statement 

Я знаю, что PreparedStatements избегает / предотвращает внедрение SQL. Как оно это делает? Будет ли окончательный запрос формы, созданный с использованием PreparedStatements, быть строкой или иначе?

122 java  sql  jdbc  prepared-statement  sql-injection 

В моей локальной среде / среде разработки запрос MySQLi выполняется нормально. Однако, когда я загружаю его в среду своего веб-хоста, я получаю эту ошибку: Неустранимая ошибка: вызов функции-члена bind_param () для не-объекта в ... Вот код: global $mysqli; $stmt = $mysqli->prepare("SELECT id, description FROM tbl_page_answer_category WHERE cur_own_id = ?"); $stmt->bind_param('i', …

111 php  mysqli  prepared-statement  environment  error-reporting 

Как использовать подготовленные операторы в SQlite в Android?

100 android  sqlite  prepared-statement 

в случае использования PreparedStatement с одним общим соединением без какого-либо пула, могу ли я воссоздать экземпляр для каждой операции dml / sql, сохраняя мощность подготовленных операторов? Я имею в виду: for (int i=0; i<1000; i++) { PreparedStatement preparedStatement = connection.prepareStatement(sql); preparedStatement.setObject(1, someValue); preparedStatement.executeQuery(); preparedStatement.close(); } вместо того: PreparedStatement preparedStatement = …

97 java  jdbc  prepared-statement 

Я хочу вставить сразу несколько строк в таблицу MySQL с помощью Java. Количество строк динамическое. Раньше я делал ... for (String element : array) { myStatement.setString(1, element[0]); myStatement.setString(2, element[1]); myStatement.executeUpdate(); } Я хотел бы оптимизировать это, чтобы использовать синтаксис, поддерживаемый MySQL: INSERT INTO table (col1, col2) VALUES ('val1', 'val2'), ('val1', …

88 java  mysql  jdbc  prepared-statement  batch-insert 

Java PreparedStatement предоставляет возможность явно установить значение Null. Эта возможность: prepStmt.setNull(parameterIndex, Types.VARCHAR); Семантика этого вызова такая же, как при использовании определенного setType с нулевым параметром? prepStmt.setString(null); ?

86 java  jdbc  prepared-statement 

Я хотел бы увидеть пример того, как вызвать using bind_resultvs. get_resultи какова будет цель использования одного над другим. Также плюсы и минусы использования каждого. Какие ограничения в использовании и есть ли разница.

84 php  mysql  mysqli  prepared-statement 

У меня есть приложение Spring Boot REST, которое подключено к базе данных Oracle. Мы используем JDBC, используя JdbcTemplate. Свойства базы данных Oracle получаются через эти 3 настройки application.properties : spring.datasource.url spring.datasource.username spring.datasource.password Это приложение использует HikariCP. С веб-сайта HikariCP я узнал, что этот пул не кэширует PreparedStatements, потому что драйвер …

9 java  oracle  spring-boot  jdbc  prepared-statement