预编译sql不能用

❶ sql预编译语句就是不执行，怪怪的，求解，急～～

DataSource dataSource = new DataSource(); // 实例化Datasource
QueryRunner runQuery = new QueryRunner(dataSource);
runQuery.batch(sql,object); // sql : "DELETE FROM english WHERE id = ? " 预编译
Object 是一个二维数组 对应你要删除的值希望有帮助！可以到CSDN,IT实验室,365testing

❷ sql 2000 预编译问题 如图，求解答，编译环境都已设置好，就是不能生成c文件

看不清楚

❸ sql预编译语句就是不执行，怪怪的，求解，急～～

你上面的语句是传参数查询吗？应该是参数没有传进去，下面的语句语法没有错误，但是可以返回的查询结果不是正确的.建议写成封装的，不易SQL注入.
比如：
public DataTable SelectAId(pb_list_of_value prep )
{
sql = "SELECT tstand_code from pb_list_of_value where display_value=@display_value and type =@type order by display_value desc ";
sqlpar = new List<SqlParameter>();
sqlpar.Add(newSqlParameter("@display_value",pb_list_of_value.display_value));
DataTable ds=DBHepler.SQLDBHepler.Search(sql,sqlpar,CommandType.Text);
return ds;
}
加粗部分不换行

❹ java预编译的问题，其中sql语句执行不了，其他插入什么的都正常，望指点~

pstmt.setString(1,user.getId()+"");
pstmt.setString(2,user.getName());
pstmt.setString(3,user.getPwd());
这是以占位符方式设置 sql的参数值。
你的sql语句String sql = "select id,name,pwd from userinfo where id=10007";
没有用到，所以这几句删了就行了。或者改为：
String sql = "select id,name,pwd from userinfo where id=?";
pstmt.setString(1,user.getId()+"");

❺ 动态表名组装的sql，还能预编译吗

当然可以，就和你正常的一样

sql = "select sms_mt_send_detail"+day+" detail inner join .... where detail.user_mobile = ? and ...."

PreparedStatement stat = con.prepareStatement(sql);
stat.setString(1,table); -- 设置参数
...

❻ SQL注入预编译是绝对安全的么

没错，存储过程的确能有效解决SQL注入式攻击！
理由：因为通常的数据库访问方法，都是把访问数据表的权利赋给程序，注入式攻击者通过你的程序漏洞判断和获得更多的信息，并利用你赋给程序的访问和操作权，轻者破坏本表数据，重者毁坏整个数据库！
使用存储过程则完全不同，程序中不必再有SQL语句，因此程序不必拥有访问和操作数据表的权限，只把运行存储过程的权限交给程序。程序只是把参数和存储过程名告诉数据库，然后等待结果就行了，注入式攻击者要想运行存储过程，就必需猜对存储过程名，并且还要猜对参数个数、参数名和参数的顺序，同时满足这些条件太难了，即便所以条件都满足，那么攻击者也只是往数据表里存了一组合法数据而已，不会导致其它破坏。
因此，通过存储过程能从根本上解决注入式攻击。
需要注意的是，使用存储过程后，应把原来交给程序的操作数据表的权限收回，否则就象为了防小偷锁了前门，却开着后门一样。

❼ SQL注入的防范 使用预编译语句

预编译语句PreparedStatement是 java.sql中的一个接口，继承自Statement 接口。通过Statement对象执行SQL语句时，需要将SQL语句发送给DBMS，由 DBMS先进行编译后再执行。而预编译语句和Statement不同，在创建PreparedStatement对象时就指定了SQL语句，该语句立即发送给DBMS进行编译，当该编译语句需要被执行时，DBMS直接运行编译后的SQL语句，而不需要像其他SQL语句那样先将其编译。引发SQL注入的根本原因是恶意用户将SQL指令伪装成参数传递到后端数据库执行。作为一种更为安全的动态字符串的构建方法，预编译语句使用参数占位符来替代需要动态传入的参数，这样攻击者无法改变SQL语句的结构，SQL语句的语义不会发生改变，即便用户传入类似于前面' or '1'='1这样的字符串，数据库也会将其作为普通的字符串来处理。