预处理sql

‘壹’ java中sql的预处理，删除姓张的记录

String sql = "delete from users where name like ?";

PreparedStatement pstmt = con.prepareStatement(sql);
pstmt.setString(1, "张%");
ResultSet rs = pstmt.executeQuery();

‘贰’ java SQL预处理

其实可不可以你自己试以下就知道了，java开发实践才是真理。自己做的印象也会更深刻。

‘叁’ php 普通sql语句，处理成预处理语句

PHP MySQL 预处理语句
预处理语句对于防止 MySQL 注入是非常有用的。
预处理语句及绑定参数
预处理语句用于执行多个相同的 SQL 语句，并且执行效率更高。
预处理语句的工作原理如下：
预处理：创建 SQL 语句模板并发送到数据库。预留的值使用参数 "?" 标记 。例如：
INSERT
INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)

数据库解析，编译，对SQL语句模板执行查询优化，并存储结果不输出。
执行：最后，将应用绑定的值传递给参数（"?" 标记），数据库执行语句。应用可以多次执行语句，如果参数的值不一样。
相比于直接执行SQL语句，预处理语句有两个主要优点：
预处理语句大大减少了分析时间，只做了一次查询（虽然语句多次执行）。
绑定参数减少了服务器带宽，你只需要发送查询的参数，而不是整个语句。
预处理语句针对SQL注入是非常有用的，因为参数值发送后使用不同的协议，保证了数据的合法性。
MySQLi 预处理语句
以下实例在 MySQLi 中使用了预处理语句，并绑定了相应的参数:
实例 (MySQLi 使用预处理语句)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDB";

// 创建连接
$conn = new mysqli($servername, $username, $password, $dbname);

// 检测连接
if ($conn->connect_error) {
die("连接失败: " . $conn->connect_error);
}

// 预处理及绑定
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)");
$stmt->bind_param("sss", $firstname, $lastname, $email);

// 设置参数并执行
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();

$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();

$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();

echo "新记录插入成功";

$stmt->close();
$conn->close();
?>

解析以下实例的每行代码:
"INSERT INTO MyGuests (firstname, lastname, email) VALUES(?, ?, ?)"
在 SQL 语句中，我们使用了问号 (?)，在此我们可以将问号替换为整型，字符串，双精度浮点型和布尔值。
接下来，让我们来看下 bind_param() 函数：
$stmt->bind_param("sss", $firstname, $lastname, $email);
该函数绑定了 SQL 的参数，且告诉数据库参数的值。 "sss" 参数列处理其余参数的数据类型。s 字符告诉数据库该参数为字符串。
参数有以下四种类型:
i - integer（整型）
d - double（双精度浮点型）
s - string（字符串）
b - BLOB（binary large object:二进制大对象）
每个参数都需要指定类型。
通过告诉数据库参数的数据类型，可以降低 SQL 注入的风险。

注意： 如果你想插入其他数据（用户输入），对数据的验证是非常重要的。

PDO 中的预处理语句
以下实例我们在 PDO 中使用了预处理语句并绑定参数:
实例 (PDO 使用预处理语句)
<?php
$servername = "localhost";
$username = "username";
$password = "password";
$dbname = "myDBPDO";

try {
$conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password);
// 设置 PDO 错误模式为异常
$conn->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

// 预处理 SQL 并绑定参数
$stmt = $conn->prepare("INSERT INTO MyGuests (firstname, lastname, email)
VALUES (:firstname, :lastname, :email)");
$stmt->bindParam(':firstname', $firstname);
$stmt->bindParam(':lastname', $lastname);
$stmt->bindParam(':email', $email);

// 插入行
$firstname = "John";
$lastname = "Doe";
$email = "[email protected]";
$stmt->execute();

// 插入其他行
$firstname = "Mary";
$lastname = "Moe";
$email = "[email protected]";
$stmt->execute();

// 插入其他行
$firstname = "Julie";
$lastname = "Dooley";
$email = "[email protected]";
$stmt->execute();

echo "新记录插入成功";
}
catch(PDOException $e)
{
echo $sql . "<br>" . $e->getMessage();
}
$conn = null;
?>

‘肆’ sql语句的预处理能把表名(等号的左边用表示么)

不能，会出现语法错误的提示，如果你不需要附加条件并且要显示全部字段，直接输入select * from student 就行了，如果需要附加条件的话，左边必须输入字段名，要不然计算机会无法识别的

‘伍’ sql语句预处理，模糊查询时占位符不替换成参数

还是用 select * from book where bname like ?
然后参数赋予值时,再用通配符.

‘陆’ 嵌入式SQL的预处理方式指什么

嵌入式SQL实现时，采用预处理方式是识别出SQL语句，并处理成函数调用形式。

嵌入式SQL(英文: Embedded SQL)是一种将SQL语句直接写入C语言，COBOL，FORTRAN, Ada等编程语言的源代码中的方法。借此方法，可使得应用程序拥有了访问数据以及处理数据的能力。在这一方法中，将SQL文嵌入的目标源码的语言称为宿主语言。
在SQL标准的SQL86(1986年发布)中定义了对于COBOL, FORTRAN, PI/L等语言的嵌入式SQL的规范。在SQL89(1989年发布)规范中，定义了对于C语言的嵌入式SQL的规范。一些大型的数据库厂商发布的数据库产品中，都提供了对于嵌入式SQL的支持。比如Oracle, DB2等。

‘柒’ 一上，为什么说Mysql预处理可以防止SQL注入

简单点理解：prepareStatement会形成参数化的查询，例如：

1

select * from A where tablename.id = ?

传入参数'1;select * from B'如果不经过prepareStatement，会形成下面语句：

1

select * from A where tablename.id = 1;select * from B

这样等于两次执行，但如果经过预处理，会是这样：

1

select * from A where tablename.id = '1;select * from B'

'1;select * from B'只是一个参数，不会改变原来的语法

‘捌’ order by 在PDO里怎么写预处理的sql语句

order by为排序表达式，用于指定排序的依据，它可以是字段名也可以是字段别名。
例--.对成绩表先按课程编号，再按成绩，然后按学号排列
select *
from 成绩表
order by 课程编号,成绩,学号

--.查询成绩表中成绩最高的前五条记录，显示与第五条成绩相同的记录
select top 5 with ties *
from 成绩表
order by 成绩 desc
ASC和DESC用于指定排序方式。前者指定字段的值按照升序排列，后者按照降序排列，默认顺序为升序。

‘玖’ like查询如何使用sql的安全预处理过滤

$sql = "select * from news where title like '%%%s%%' ";

‘拾’ SQL预处理，下面语句问题出在哪

是不是这样的啊

$stmt->bindParam(1,$addId);
$stmt->bindParam(2,$addName);
$stmt->bindParam(3,$addTitle);
$stmt->bindParam(4,$addDate);