Prepared Statement: Unterschied zwischen den Versionen
Kowa (Diskussion | Beiträge) |
Kowa (Diskussion | Beiträge) |
||
| Zeile 8: | Zeile 8: | ||
Bei der Erzeugung eines [[Prepared Statement]]s werden an Stelle von Parameterwerten Platzhalter für die Parameter an das DBMS übergeben. | Bei der Erzeugung eines [[Prepared Statement]]s werden an Stelle von Parameterwerten Platzhalter für die Parameter an das DBMS übergeben. | ||
Erst beim Aufruf eines [Prepared Statement]]s werden Parameterwerte übergeben. | Erst beim Aufruf eines [[Prepared Statement]]s werden Parameterwerte übergeben. | ||
Auf diese Weise können insbesondere [[SQL Injection|SQL-Injection-Attacken]] vermieden werden, | Auf diese Weise können insbesondere [[SQL Injection|SQL-Injection-Attacken]] vermieden werden, | ||
| Zeile 14: | Zeile 14: | ||
möglich ist. | möglich ist. | ||
Darüber hinaus werden die Parameter beim Eintragen zunächst vom | Darüber hinaus werden die Parameter beim Eintragen zunächst vom DBMS | ||
auf Gültigkeit geprüft bevor sie verarbeitet werden. | auf Gültigkeit geprüft bevor sie verarbeitet werden. | ||
Als angenehmen Nebeneffekt bringen | Als angenehmen Nebeneffekt bringen Prepared Statements den Vorteil mit sich, dass durch die Vorverarbeitung der Abfragen eine | ||
schnellere Verarbeitung der Abfragen möglich ist. | |||
schnellere | |||
=Quellen= | =Quellen= | ||
Version vom 26. Juni 2007, 09:19 Uhr
Dieser Artikel wird derzeit von einem Autor gründlich bearbeitet. Die Inhalte sind daher evtl. noch inkonsistent.
Definition
Prepared Statements sind parametrisierte, vorübersetzte (SQL-)Anweisungen für ein Datenbank-Management-System (DBMS).
Bemerkungen
Bei der Erzeugung eines Prepared Statements werden an Stelle von Parameterwerten Platzhalter für die Parameter an das DBMS übergeben. Erst beim Aufruf eines Prepared Statements werden Parameterwerte übergeben.
Auf diese Weise können insbesondere SQL-Injection-Attacken vermieden werden, da die dafür nötige Vermischung von SQL- und Hostsprache-Code nicht mehr ohne Weiteres möglich ist.
Darüber hinaus werden die Parameter beim Eintragen zunächst vom DBMS auf Gültigkeit geprüft bevor sie verarbeitet werden.
Als angenehmen Nebeneffekt bringen Prepared Statements den Vorteil mit sich, dass durch die Vorverarbeitung der Abfragen eine schnellere Verarbeitung der Abfragen möglich ist.
Quellen
- [1] Paul Sebastian Ziegler: XSS – Cross-Site Scripting. hakin9 - Hard Core IT Security Magazin 2007, Heft 1, S. 20ff
- [2] Christiane Rütten, Tobias Glemser: Gesundes Misstrauen – Sicherheit von Webanwendungen. c’t 2006, Heft 26, S. 234ff
