Запрос БД: параметризованные значения или добавленные значения?
Я хотел бы знать, какой из них лучше подходит для обеспечения производительности и безопасности. Я использую MySql DB, а значения имеют тип varchar.
Должен ли я напрямую конкатенировать значения, чтобы сформировать строку запроса и выполнить запрос? (или) Должен ли я использовать параметризованные запросы?
заранее спасибо
3 ответа
Я считаю, что безопасность - это единственная серьезная проблема. Если вы не создаете динамический запрос с помощью инструкции, вы оставите открытым возможность для SQL-инъекции, особенно если некоторые из входов в запрос имеют нестерилизованные данные, поступающие из внешнего мира. Если вы используете утверждения, тогда вы значительно минимизируете вероятность этого.
Что касается производительности, в создании и выполнении инструкции возникнут некоторые накладные расходы, но я бы сказал, что штраф за использование оператора над необработанной строкой довольно мал. Большей проблемой для вашей производительности, вероятно, будет сам запрос, и как вы настроили свою схему.
Итак, мой голос за использование заявления, в предположении, что производительность является второстепенным фактором для рассмотрения здесь.
Вы должны заботиться о безопасности данных, а затем о производительности. Если вы объединяете параметры запроса, ваша безопасность подвержена риску, а также может нарушить ваш запрос; это не лучший способ.
Таким образом, вы должны параметризовать свой запрос вместо конкатенации для меры безопасности, для обработки строки запроса требуется очень мало времени.
Использование параметризованного запроса является наиболее рекомендуемым решением. Это предотвратит угрозу SQL-инъекции, а также предоставит вам гибкость при обновлении запроса по мере необходимости без какого-либо воздействия на ваш запрос.
вы можете использовать постоянный запрос как часть базовой разработки, но при использовании производственного кода следует использовать параметризованный запрос и пытаться использовать подготовленные операторы, чем обычные строковые выражения. Использование подготовленного Statement в Java JDBC повышает производительность и преимущества безопасности.
Ещё вопросы
- 0Загрузка данных перед загрузкой контроллеров и представлений
- 0OpenGL ничего не рисуя
- 1Как читать китайский текстовый файл (Python)
- 0Codeigniter: правильный способ доступа к функции в пользовательской библиотеке
- 1Как найти значения Min и Max для строк в словаре при использовании DictReader в Python 3
- 0C ++: файловый ввод / вывод с трудностями при открытии и работе с ним
- 0Резервное копирование базы данных Mysql с помощью сценария оболочки - для bind-адреса установлено значение localhost
- 1Scrolltoposition / smoothscrolltoposition для просмотра переработчика в макете с вложенной прокруткой
- 0Почему мой угловой пейджинг не работает?
- 0Scanf и строки в C ++
- 0Как написать тестовый модуль для сервиса, который возвращает обещание
- 0как выбрать ссылку в заголовке с помощью jquery
- 0Ошибка получения компоновщика при создании экземпляра класса шаблона
- 1Конкат результат групповых панд
- 0Php dbase возвращает неверное количество столбцов
- 0HTML действие превращает пробелы в плюсы
- 0Какой тип кэша лучше использовать для повышения производительности сайта?
- 0AngularJS 10 $ digest () достигнуты итерации. Попытка синхронизировать службу, контроллер и представление с помощью $ watch работает, но вызывает ошибки
- 0$ _POST в пределах heredoc php
- 0Перенаправление и отметка времени std :: cout
- 0Не удается получить единый стиль в браузерах для календаря
- 1Почему операции над Path реализованы в виде статических методов?
- 1Создание «компилятора» для редактирования строк
- 0для каждого счетчика цикл в C ++ не увеличивается с определенными числами
- 1Onclick listner не запускается в адаптере фрагмента страницы
- 0Как переключаться между методами событий jquery?
- 1Возникли проблемы с этим методом, ошибка компиляции
- 0std :: vector <std :: pair <const int, const int>> :: clear () VS 2010 без компиляции
- 0Фокус AngularJS после создания нового элемента
- 1Как редактировать данные EXIF видеофайла mp4 в Windows Phone 8.1
- 1значение строки запроса не извлекается
- 0Как я могу использовать кнопку WindowsFormApplication для переключения между двумя приложениями Windows (заставить их наверх)?
- 1Ошибка: (251, 5) ошибка: дублирующее значение для ресурса 'attr / pivotX' с config '
- 0Как скрыть строку подключения MySQL - имя пользователя и пароль на GitHub (Java)
- 0Создавайте динамические тесты с PHPUnit
- 0Неожиданные результаты с преобразованием строк wchar_t и c_str
- 0IE7 z-index не работает событие после добавления позиции?
- 1Есть ли Java-эквивалент службы Windows
- 0Угловое изменение ввода текстового поля JS - Смотреть
- 1Jade / мопс выберите форму Javascript Onchange событие
- 0Как показать динамический контент на Ionic Custom POPUP
- 1Как преобразовать ответ библиотеки клиента Google Vision в Json
- 1Как скопировать / повторить массив N раз в новый массив? [Дубликат]
- 0Как ввести правое поле абзаца с рамкой
- 1Привязка функции обратного вызова при использовании Async Waterfall
- 1Как начать потоковое видео с помощью webRTC?
- 0C ++ Char Array, удаляющий повторяющиеся символы
- 0Ошибки ограничения внешнего ключа
- 1Сохранить порядок данных после слияния
- 0Несколько изображений не вставлены в базу данных MySQL
