Ergebnis für Prepared Statement (1)
Prepared Statement
Eine sogenannte vorbereitete Anweisung für das Ausführen einer Datenoperation in einem Datenbanksystem.
Bei Prepared Statements wird vorab der Zugriff definiert, dem Datenbanksystem wird eine SQL-Anweisung mit Platzhalter-Variablen ohne Werte (statement template) übergeben.
In einem zweiten Schritt werden die Daten/Parameterwerte separat in die Abfrage hinzugefügt. Dabei werden diese auf Richtigkeit überprüft und bereinigt. Der Datenbankserver bildet aus dem Template und den übergebenen Werten ein SQL-Statement und führt dieses aus (Execute).
Ein Prepared Statement kann wiederholt, beispielsweise in einer Programmschleife, ausgeführt werden. Bei jeder Ausführung wird der aktuell übergebene Parameterwert ausgewertet und an den Server gesendet. Das statement template selbst wird nicht erneut analysiert bzw. auf den Server übertragen, was sich positiv auf die Performance auswirkt.
Prepared Statements sind ein Mittel zum Schutz vor Angriffen mittels SQL-Injection, dem Ausnützen von Codierungsschwächen in (Web)-Anwendungen für bösartige Angriffe oder Identitätsdiebstähle.
Datenbankserver