Prepared Statement
Dieser Artikel erfüllt die GlossarWiki-Qualitätsanforderungen nur teilweise:
| Korrektheit: 2 (teilweise überprüft) |
Umfang: 2 (wichtige Fakten fehlen) |
Quellenangaben: 3 (wichtige Quellen vorhanden) |
Quellenarten: 5 (ausgezeichnet) |
Konformität: 5 (ausgezeichnet) |
Definition
Prepared Statements sind parametrisierte, vorübersetzte (SQL-)Anweisungen für ein Datenbanksystem (DBS).
Bemerkungen
Bei der Erzeugung eines Prepared Statements werden an Stelle von Parameterwerten Platzhalter für die Parameter an das DBS übergeben. Erst beim Aufruf eines Prepared Statements werden Parameterwerte übergeben.
Auf diese Weise können insbesondere SQL-Injection-Attacken vermieden werden, da die dafür nötige Vermischung von SQL- und Hostsprache-Code nicht mehr ohne Weiteres möglich ist.
Darüber hinaus werden die Parameter beim Eintragen zunächst vom DBS auf Gültigkeit geprüft bevor sie verarbeitet werden.
Als angenehmen Nebeneffekt bringen Prepared Statements den Vorteil mit sich, dass durch die Vorverarbeitung der Abfragen eine schnellere Verarbeitung der Abfragen möglich ist.
Quellen
- Ziegler (2007): Paul Sebastian Ziegler; XSS – Cross-site scripting; in: hakin9 - Hard Core IT Security Magazin; Nummer: 1; Seite(n): 20ff; Web-Link; 2007; Quellengüte: 5 (Artikel)
- Rütten, Glemser (2006): Christiane Rütten und Tobias Glemser; Gesundes Misstrauen – Sicherheit von Webanwendungen; in: c't; Nummer: 26; Seite(n): 234-239; Verlag: Heise Zeitschriften Verlag; Web-Link; 2006; Quellengüte: 5 (Artikel)
