Что такое параметризованный запрос?
https://stackoverflow.com/questions/4712037
-
11-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Что такое параметризованный запрос и каким примером такого запроса будет PHP и MySQL?
Решение
Параметризованный запрос (также известный как подготовленное заявление) является средством предварительной компиляции оператора SQL, так что все, что вам нужно для снабжения,-это «параметры» (подумайте «переменные»), которые необходимо вставить в оператор для его выполнения. Это обычно используется как средство предотвращения SQL -инъекционные атаки.
Вы можете прочитать больше об этом на PHP PDO Page (PDO является слоем абстракции базы данных), хотя вы также можете использовать их, если используете интерфейс базы данных MySQLI (см. подготовить документация).
Другие советы
Это четкое и краткое объяснение того, что это такое и как это работает.Как и зачем использовать параметризацию
Важный процесс включает в себя сервер, предварительно обрабатывающий запрос без параметров, поэтому он знает, какой он является запросом. Так, например, запрос SELECT - это только запрос SELECT, и не может быть объединен параметром (переменная запроса), который является Select / Drop или какой -либо другой инъекцией MySQL. Вместо этого данные впрыска будут просто строковыми данными в поле параметра.
Параметризованный запрос - это запрос, в котором заполнители используются для параметров, а значения параметров поставляются во время выполнения.
Зачем использовать параметризованный запрос
- Самая важная причина использования параметризованных запросов - избежать атак впрыска SQL.
- Во -вторых, параметризованный запрос заботится о сценарии, когда SQL -запрос может потерпеть неудачу, например, вставка O'Baily в поле. Параметризованные справочные справки, такой запрос, не заставляя вас заменить отдельные кавычки на двойные однократные кавычки.
Это утверждение является одной из функций системы баз данных, в которой тот же оператор SQL выполняется неоднократно с высокой эффективностью. Подготовленные операторы являются одним из видов шаблона и используются применением с различными параметрами.Справочная статья
Система базы данных может выполнять тот же оператор SQL, не выполняя анализ, компиляцию и оптимизацию снова и снова для того же типа оператора SQL.
Вы можете написать или создать подготовленное заявление в MySQL, но это не эффективный способ, потому что бинарный протокол с помощью подготовленного API заявления лучше.
Но все же вы можете написать, и даже это не требует никаких других программ, которые вы можете напрямую написать в SQL. Вы можете использовать подготовленный оператор для клиентской программы MySQL. Вы также можете использовать подготовленный оператор в хранимой процедуре для динамического подхода SQL.
Создайте подготовленное заявление в MySQL: Ссылка взята из этой статьи
PREPARE TestStmt FROM
'SELECT * FROM Test
WHERE TestNumber=?';
Вы можете использовать PHP -код для управления подготовленным оператором через его API или управлять на уровне JDBC.
