«prepared-statement» 태그된 질문

PDO를 사용하여 값 배열을 자리 표시 자에 바인딩 할 수 있는지 궁금합니다. 여기서 유스 케이스는 IN()조건 과 함께 사용할 값 배열을 전달하려고합니다 . 다음과 같이 할 수 있기를 바랍니다. <?php $ids=array(1,2,3,7,8,9); $db = new PDO(...); $stmt = $db->prepare( 'SELECT * FROM table WHERE id IN(:an_array)' ); $stmt->bindParam('an_array',$ids); $stmt->execute(); ?> 그리고 …

562 php  arrays  pdo  prepared-statement  where-in 

SQL 주입 공격 보안 문제로 인해 여러 값에서 지원되지 않는의 IN인스턴스와 함께 SQL 절 을 사용하는 가장 좋은 해결 방법은 다음 과 java.sql.PreparedStatement같습니다.? 자리 표시자는 값 목록이 아닌 하나의 값을 나타냅니다. 다음 SQL 문을 고려하십시오. SELECT my_column FROM my_table where search_column IN (?) 사용 preparedStatement.setString( 1, "'A', 'B', 'C'" );은 …

343 java  security  jdbc  prepared-statement  in-clause 

mysql 데이터베이스 쿼리를 실행하기 위해 준비된 명령문을 사용하고 있습니다. 그리고 나는 일종의 키워드를 기반으로 검색 기능을 구현하고 싶습니다. 이를 위해서는 LIKE키워드 를 사용해야 합니다. 또한 이전에 준비된 명령문을 사용했지만 LIKE다음 코드에서 어디에 추가 해야하는지 함께 사용하는 방법을 모르겠습니다 'keyword%'. pstmt.setString(1, notes)그대로 (1, notes+"%")또는 이와 비슷한 방식 으로 직접 사용할 수 …

176 java  mysql  jdbc  prepared-statement 

준비된 명령문 은 SQL 주입 공격을 방지하는 데 어떻게 도움이 됩니까? 위키피디아의 말 : 준비된 명령문은 나중에 다른 프로토콜을 사용하여 전송되는 매개 변수 값이 올바르게 이스케이프 될 필요가 없으므로 SQL 삽입에 대해 복원력이 뛰어납니다. 원래 명령문 템플리트가 외부 입력에서 파생되지 않은 경우 SQL 삽입이 발생할 수 없습니다. 이유를 잘 알 …

172 sql  security  sql-injection  prepared-statement 

다음과 같은 메소드 서명이있는 일반적인 Java 메소드가 있습니다. private static ResultSet runSQLResultSet(String sql, Object... queryParams) 연결을 열고 PreparedStatementsql 문을 사용하여 변수를 작성하고 queryParams변수 길이 배열 의 매개 변수를 실행하고 실행하고 ResultSet(a CachedRowSetImpl)를 캐시 하고 연결을 닫은 다음 캐시 된 결과 세트를 리턴합니다. 오류를 기록하는 방법에 예외 처리가 있습니다. 디버깅에 매우 …

160 java  sql  jdbc  prepared-statement 

현재 MySQL 에서이 유형의 SQL을 사용하여 단일 쿼리에 여러 행의 값을 삽입하고 있습니다. INSERT INTO `tbl` (`key1`,`key2`) VALUES ('r1v1','r1v2'),('r2v1','r2v2'),... PDO에 대한 독서에서 사용 준비된 문은 정적 쿼리보다 더 나은 보안을 제공해야합니다. 따라서 준비된 문을 사용하여 "하나의 쿼리를 사용하여 여러 행의 값 삽입"을 생성 할 수 있는지 알고 싶습니다. 그렇다면 어떻게 …

145 php  pdo  insert  prepared-statement 

PreparedStatements가 SQL 주입을 피 / 방지한다는 것을 알고 있습니다. 어떻게하나요? PreparedStatements를 사용하여 생성 된 최종 양식 쿼리는 문자열입니까?

122 java  sql  jdbc  prepared-statement  sql-injection 

내 로컬 / 개발 환경에서 MySQLi 쿼리가 정상적으로 수행되고 있습니다. 그러나 웹 호스트 환경에 업로드하면 다음 오류가 발생합니다. 치명적 오류 : 비 객체의 bind_param () 멤버 함수 호출 ... 다음은 코드입니다. global $mysqli; $stmt = $mysqli->prepare("SELECT id, description FROM tbl_page_answer_category WHERE cur_own_id = ?"); $stmt->bind_param('i', $cur_id); $stmt->execute(); $stmt->bind_result($uid, $desc); 내 …

109 php  mysqli  prepared-statement  environment  error-reporting 

Android의 SQlite에서 준비된 문을 어떻게 사용합니까?

100 android  sqlite  prepared-statement 

풀없이 단일 공통 연결로 PreparedStatement를 사용하는 경우 준비된 명령문의 기능을 유지하는 모든 dml / sql 작업에 대해 인스턴스를 다시 만들 수 있습니까? 내말은: for (int i=0; i<1000; i++) { PreparedStatement preparedStatement = connection.prepareStatement(sql); preparedStatement.setObject(1, someValue); preparedStatement.executeQuery(); preparedStatement.close(); } 대신에: PreparedStatement preparedStatement = connection.prepareStatement(sql); for (int i=0; i<1000; i++) { preparedStatement.clearParameters(); …

97 java  jdbc  prepared-statement 

Java를 사용하여 한 번에 여러 행을 MySQL 테이블에 삽입하고 싶습니다. 행 수는 동적입니다. 과거에는 ... for (String element : array) { myStatement.setString(1, element[0]); myStatement.setString(2, element[1]); myStatement.executeUpdate(); } MySQL 지원 구문을 사용하도록 최적화하고 싶습니다. INSERT INTO table (col1, col2) VALUES ('val1', 'val2'), ('val1', 'val2')[, ...] 그러나를 사용하면 PreparedStatement얼마나 많은 요소 array가 …

88 java  mysql  jdbc  prepared-statement  batch-insert 

Java PreparedStatement는 Null 값을 명시 적으로 설정할 수있는 가능성을 제공합니다. 이 가능성은 다음과 같습니다. prepStmt.setNull(parameterIndex, Types.VARCHAR); 이 호출의 의미는 널 매개 변수와 함께 특정 setType을 사용할 때와 동일합니까? prepStmt.setString(null); ?

88 java  jdbc  prepared-statement 

using bind_resultvs. 를 호출하는 방법 get_result과 하나를 다른 것보다 사용하는 목적이 무엇인지에 대한 예를보고 싶습니다 . 또한 각각을 사용하는 장단점. 둘 중 하나를 사용할 때의 한계는 무엇이며 차이점이 있습니다.

84 php  mysql  mysqli  prepared-statement 

PDO를 IN사용하여 값에 배열을 사용하는 절이 있는 문을 실행 하고 있습니다. $in_array = array(1, 2, 3); $in_values = implode(',', $in_array); $my_result = $wbdb->prepare("SELECT * FROM my_table WHERE my_value IN (".$in_values.")"); $my_result->execute(); $my_results = $my_result->fetchAll(); 위의 코드는 완벽하게 작동하지만 내 질문은 이것이 왜 그렇지 않습니다. $in_array = array(1, 2, 3); $in_values …

82 php  mysql  pdo  prepared-statement  in-clause 

Oracle 데이터베이스에 연결된 Spring Boot REST 응용 프로그램이 있습니다. JdbcTemplate을 사용하여 JDBC를 사용하고 있습니다. Oracle 데이터베이스 특성은 다음 3 가지 application.properties 설정을 통해 얻습니다 . spring.datasource.url spring.datasource.username spring.datasource.password 이 응용 프로그램은 HikariCP를 사용하고 있습니다. HikariCP 웹 사이트에서 JDBC 드라이버가 최상의 설정이므로이 풀이 PreparedStatements를 캐시하지 않는다는 것을 알게되었습니다. 이제, 이것을 보장하기 …

9 java  oracle  spring-boot  jdbc  prepared-statement