預編譯sql不能用

❶ sql預編譯語句就是不執行，怪怪的，求解，急～～

DataSource dataSource = new DataSource(); // 實例化Datasource
QueryRunner runQuery = new QueryRunner(dataSource);
runQuery.batch(sql,object); // sql : "DELETE FROM english WHERE id = ? " 預編譯
Object 是一個二維數組 對應你要刪除的值希望有幫助！可以到CSDN,IT實驗室,365testing

❷ sql 2000 預編譯問題 如圖，求解答，編譯環境都已設置好，就是不能生成c文件

看不清楚

❸ sql預編譯語句就是不執行，怪怪的，求解，急～～

你上面的語句是傳參數查詢嗎？應該是參數沒有傳進去，下面的語句語法沒有錯誤，但是可以返回的查詢結果不是正確的.建議寫成封裝的，不易SQL注入.
比如：
public DataTable SelectAId(pb_list_of_value prep )
{
sql = "SELECT tstand_code from pb_list_of_value where display_value=@display_value and type =@type order by display_value desc ";
sqlpar = new List<SqlParameter>();
sqlpar.Add(newSqlParameter("@display_value",pb_list_of_value.display_value));
DataTable ds=DBHepler.SQLDBHepler.Search(sql,sqlpar,CommandType.Text);
return ds;
}
加粗部分不換行

❹ java預編譯的問題，其中sql語句執行不了，其他插入什麼的都正常，望指點~

pstmt.setString(1,user.getId()+"");
pstmt.setString(2,user.getName());
pstmt.setString(3,user.getPwd());
這是以佔位符方式設置 sql的參數值。
你的sql語句String sql = "select id,name,pwd from userinfo where id=10007";
沒有用到，所以這幾句刪了就行了。或者改為：
String sql = "select id,name,pwd from userinfo where id=?";
pstmt.setString(1,user.getId()+"");

❺ 動態表名組裝的sql，還能預編譯嗎

當然可以，就和你正常的一樣

sql = "select sms_mt_send_detail"+day+" detail inner join .... where detail.user_mobile = ? and ...."

PreparedStatement stat = con.prepareStatement(sql);
stat.setString(1,table); -- 設置參數
...

❻ SQL注入預編譯是絕對安全的么

沒錯，存儲過程的確能有效解決SQL注入式攻擊！
理由：因為通常的資料庫訪問方法，都是把訪問數據表的權利賦給程序，注入式攻擊者通過你的程序漏洞判斷和獲得更多的信息，並利用你賦給程序的訪問和操作權，輕者破壞本表數據，重者毀壞整個資料庫！
使用存儲過程則完全不同，程序中不必再有SQL語句，因此程序不必擁有訪問和操作數據表的許可權，只把運行存儲過程的許可權交給程序。程序只是把參數和存儲過程名告訴資料庫，然後等待結果就行了，注入式攻擊者要想運行存儲過程，就必需猜對存儲過程名，並且還要猜對參數個數、參數名和參數的順序，同時滿足這些條件太難了，即便所以條件都滿足，那麼攻擊者也只是往數據表裡存了一組合法數據而已，不會導致其它破壞。
因此，通過存儲過程能從根本上解決注入式攻擊。
需要注意的是，使用存儲過程後，應把原來交給程序的操作數據表的許可權收回，否則就象為了防小偷鎖了前門，卻開著後門一樣。

❼ SQL注入的防範 使用預編譯語句

預編譯語句PreparedStatement是 java.sql中的一個介面，繼承自Statement 介面。通過Statement對象執行SQL語句時，需要將SQL語句發送給DBMS，由 DBMS先進行編譯後再執行。而預編譯語句和Statement不同，在創建PreparedStatement對象時就指定了SQL語句，該語句立即發送給DBMS進行編譯，當該編譯語句需要被執行時，DBMS直接運行編譯後的SQL語句，而不需要像其他SQL語句那樣先將其編譯。引發SQL注入的根本原因是惡意用戶將SQL指令偽裝成參數傳遞到後端資料庫執行。作為一種更為安全的動態字元串的構建方法，預編譯語句使用參數佔位符來替代需要動態傳入的參數，這樣攻擊者無法改變SQL語句的結構，SQL語句的語義不會發生改變，即便用戶傳入類似於前面' or '1'='1這樣的字元串，資料庫也會將其作為普通的字元串來處理。