关于SQL语句的占位符使用及动态SQL

最新推荐文章于 2024-04-18 19:57:46 发布
最新推荐文章于 2024-04-18 19:57:46 发布
阅读量4.5w 收藏 15
点赞数 3
文章标签: oracle 占位符 动态SQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy18755122285/article/details/52074409
版权
一、SQL占位符的使用
1、对于存储过程中占位符的使用:
DECLARE
BEGIN
  SQL_STMT := 'select * from student where id=:1 and course = ''yw''';
  EXECUTE IMMEDIATE SQL_STMT
    INTO STU_REC
    USING &1; 
END;

2、直接执行的SQ L
select * from STUDENT t where t.id= &1;
[注:“&1”要求传入的参数类型为“number”]

select * from  STUDENT t where t.id= &a;
[注:“&a”要求传入的参数类型为“varchar2”]

二、动态SQL

在PLSQL中使用EXECUTE IMMEDIATE语句处理动态SQL语句。

语法如下:
EXECUTE IMMEDIATE dynamic_string
[INTO {define_variable[, define_variable]... | record}]
[USING [IN | OUT | IN OUT] bind_argument
    [, [IN | OUT | IN OUT] bind_argument]...]
[{RETURNING | RETURN} INTO bind_argument[, bind_argument]...];

dynamic_string是代表一条SQL语句或一个PL/SQL块的字符串表达式,
define_variable是用于存放被选出的字段值的变量,
record是用户定义或%ROWTYPE类型的记录,用来存放被选出的行记录。
输入bind_argument参数是一个表达式,它的值将被传入(IN模式)或传出(OUT模式)或先传入再传出(IN OUT模式)到动态SQL语句或是PL/SQL块中。一个输出bind_argument参数就是一个能保存动态SQL返回值的变量。

除了多行查询外,动态字符串可以包含任何SQL语句(不含终结符)或PL/SQL块(含终结符)。
字符串中可以包括用于参数绑定的占位符。
但是,不可以使用绑定参数为动态SQL传递模式对象。

在用于单行查询时,INTO子句要指明用于存放检索值的变量或记录。
对于查询检索出来的每一个值,INTO子句中都必须有一个与之对应的、类型兼容的变量或字段。
在用于DML操作时,RETURNING INTO子句要指明用于存放返回值的变量或记录。
对于DML语句返回的每一个值,INTO子句中都必须有一个与之对应的、类型兼容的变量或字段。

我们可以把所有的绑定参数放到USING子句中。默认的参数模式是IN。
对于含有RETURNING子句的DML语句来说,我们可以把OUT参数放到RETURNING INTO之后,并且不用指定它们的参数模式,因为默认就是OUT。
如果我们既使用了USING又使用RETURNING INTO,那么,USING子句中就只能包含IN模式的参数了。

运行时,动态字符串中的绑定参数会替换相对应的占位符。所以,每个占位符必须与USING子句和/或RETURNING INTO子句中的一个绑定参数对应。我们可以使用数字、字符和字符串作为绑定参数,但不能使用布尔类型(TRUE,FALSE和NULL)。要把空值传递给动态字符串,我们就必须使用工作区。

动态SQL支持所有的SQL类型。所以,定义变量和绑定变量都可以是集合、LOB,对象类型实例和引用。
作为一项规则,动态SQL是不支持PL/SQL特有的类型的。这样,它就不能使用布尔型或索引表。

我们可以重复为绑定变量指定新值执行动态SQL语句。但是,每次都会消耗很多资源,因为EXECUTE IMMEDIATE在每次执行之前都需要对动态字符串进行预处理。

1、动态SQL实例
下面的PL/SQL块包含了几个动态SQL的例子:

[sql]   view plain  copy
  1. DECLARE  
  2.   sql_stmt      VARCHAR2(200);  
  3.   plsql_block   VARCHAR2(500);  
  4.   emp_id        NUMBER(4)     := 7566;  
  5.   salary        NUMBER(7, 2);  
  6.   dept_id       NUMBER(2)     := 50;  
  7.   dept_name     VARCHAR2(14)  := 'PERSONNEL';  
  8.   location      VARCHAR2(13)  := 'DALLAS';  
  9.   emp_rec       emp%ROWTYPE;  
  10. BEGIN  
  11.   EXECUTE IMMEDIATE 'CREATE TABLE bonus (id NUMBER, amt NUMBER)';  
  12.     
  13.   sql_stmt := 'INSERT INTO dept VALUES (:1, :2, :3)';  
  14.   EXECUTE IMMEDIATE sql_stmt  
  15.               USING dept_id, dept_name, location;  sql_stmt := 'SELECT * FROM emp WHERE empno = :id';  
  16.   EXECUTE IMMEDIATE sql_stmt  
  17.               INTO emp_rec  
  18.               USING emp_id;  plsql_block := 'BEGIN emp_pkg.raise_salary(:id, :amt); END;';  
  19.   EXECUTE IMMEDIATE plsql_block  
  20.               USING 7788, 500;  sql_stmt := 'UPDATE emp SET sal = 2000 WHERE empno = :1 RETURNING sal INTO :2';  
  21.   EXECUTE IMMEDIATE sql_stmt  
  22.               USING emp_id  
  23.               RETURNING INTO salary;  EXECUTE IMMEDIATE 'DELETE FROM dept WHERE deptno = :num'  
  24.               USING dept_id;  EXECUTE IMMEDIATE 'ALTER SESSION SET SQL_TRACE TRUE';  
  25. END;  

 

下例中,过程接受一个数据表名(如"emp")和一个可选的WHERE子句(如"sal > 2000")。
如果我们没有提供WHERE条件,程序会删除指定表中所有的行,否则就会按照给定的条件删除行:

[sql]   view plain  copy
  1. CREATE OR REPLACE PROCEDURE delete_rows(  
  2.   table_name   IN   VARCHAR2,  
  3.   condition    IN   VARCHAR2 DEFAULT NULL  
  4. AS  
  5.   where_clause   VARCHAR2(100) := ' WHERE ' || condition;  
  6. BEGIN  
  7.   IF condition IS NULL THEN  
  8.     where_clause    := NULL;  
  9.   END IF;  
  10.   
  11.   EXECUTE IMMEDIATE 'DELETE FROM ' || table_name || where_clause;  
  12. END;  


2、USING子句的向后兼容

当动态INSERT、UPDATE或DELETE语句有一个RETURNING子句时,
输出绑定参数可以放到RETURNING INTO或USING子句的后面。
在新的应用程序中要使用RETURNING INTO,而旧的应用程序可以继续使用USING,如下例:

[sql]   view plain  copy
  1. DECLARE  
  2.   sql_stmt   VARCHAR2(200);  
  3.   my_empno   NUMBER(4)     := 7902;  
  4.   my_ename   VARCHAR2(10);  
  5.   my_job     VARCHAR2(9);  
  6.   my_sal     NUMBER(7, 2)  := 3250.00;  
  7. BEGIN  
  8.   sql_stmt := 'UPDATE emp SET sal = :1 WHERE empno = :2 RETURNING ename, job INTO :3, :4';  
  9.   
  10.   /* Bind returned values through USING clause. */  
  11.   EXECUTE IMMEDIATE sql_stmt  
  12.               USING my_sal, my_empno, OUT my_ename, OUT my_job;  
  13.   dbms_output.put_line(my_ename || ',' || my_job);  
  14.     
  15.   /* Bind returned values through RETURNING INTO clause. */  
  16.   EXECUTE IMMEDIATE sql_stmt  
  17.               USING my_sal, my_empno  
  18.               RETURNING INTO my_ename, my_job;  
  19.   dbms_output.put_line(my_ename || ',' || my_job);  
  20. END;  


3、指定参数模式

使用USING子句时,我们不需要为输入参数指定模式,因为默认的就是IN;
而RETURNING INTO子句中我们是不可以指定输出参数的模式的,因为定义中它就是OUT模式。
在适当的时候,我们必须为绑定参数指定OUT或IN OUT模式。例如,假定我们想调用下面的过程:

[sql]   view plain  copy
  1. CREATE PROCEDURE create_dept(  
  2.   deptno   IN OUT   NUMBER,  
  3.   dname    IN       VARCHAR2,  
  4.   loc      IN       VARCHAR2  
  5. AS  
  6. BEGIN  
  7.   SELECT deptno_seq.NEXTVAL INTO deptno FROM DUAL;  
  8.   INSERT INTO dept VALUES (deptno, dname, loc);  
  9. END;  

要从动态PL/SQL块调用过程,就必须为与形参关联的绑定参数指定IN OUT模式,如下:

[sql]   view plain  copy
  1. DECLARE  
  2.   plsql_block   VARCHAR2(500);  
  3.   new_deptno    NUMBER(2);  
  4.   new_dname     VARCHAR2(14)  := 'ADVERTISING';  
  5.   new_loc       VARCHAR2(13)  := 'NEW YORK';  
  6. BEGIN  
  7.   plsql_block := 'BEGIN create_dept(:a, :b, :c); END;';  
  8.   
  9.   EXECUTE IMMEDIATE plsql_block  
  10.               USING IN OUT new_deptno, new_dname, new_loc;  
  11.   
  12.   dbms_output.put_line(new_deptno);  
  13. END;  


4、打开游标变量OPEN-FOR
OPEN {cursor_variable | :host_cursor_variable} FOR dynamic_string
[USING bind_argument[, bind_argument]...];
OPEN-FOR的动态形式有一个可选的USING子句。
在运行时,USING子句中的绑定变量可以替换动态SELECT语句中相对应的占位符

5、使用批量动态SQL

批量绑定能减少PL/SQL和SQL引擎之间的切换,改善性能。
使用下面的命令、子句和游标属性,我们就能构建批量绑定的SQL语句,然后在运行时动态地执行:

BULK FETCH 语句
BULK EXECUTE IMMEDIATE 语句
FORALL 语句
COLLECT INTO 子句
RETURNING INTO 子句
%BULK_ROWCOUNT 游标属性


动态批量绑定语法

批量绑定能让Oracle把SQL语句中的一个变量与一个集合相绑定。
集合类型可以是任何PL/SQL集合类型(索引表、嵌套表或变长数组)。
但是,集合元素必须是SQL数据类型,如CHAR、DATE或NUMBER。
有三种语句支持动态批量绑定:EXECUTE IMMEDIATE、FETCH和FOR ALL。

批量EXECUTE IMMEDIATE这个语句能让我们把变量或OUT绑定参数批量绑定到一个动态的SQL语句,语法如下:
EXECUTE IMMEDIATE dynamic_string
  [[BULK COLLECT] INTO define_variable[, define_variable ...]]
  [USING bind_argument[, bind_argument ...]]
  [{RETURNING | RETURN}
  BULK COLLECT INTO bind_argument[, bind_argument ...]];

在动态多行查询中,我们可以使用BULK COLLECT INTO子句来绑定变量。
在返回多行结果的动态INSERT、UPDATE或DELETE语句中,我们可以使用RETURNING BULK COLLECT INTO子句来批量绑定输出变量。

批量FETCH这个语句能让我们从动态游标中取得数据,就跟从静态游标中取得的方法是一样的。语法如下:
FETCH dynamic_cursor
  BULK COLLECT INTO define_variable[, define_variable ...];
*如果在BULK COLLECT INTO中的变量个数超过查询的字段个数,Oracle就会产生错误。

批量FORALL这个语句能让我们在动态SQL语句中批量绑定输入参数。
此外,我们还可以在FORALL内部使用EXECUTE IMMEDIATE语句。语法如下:
FORALL index IN lower bound..upper bound
  EXECUTE IMMEDIATE dynamic_string
  USING bind_argument | bind_argument(index)
    [, bind_argument | bind_argument(index)] ...
  [{RETURNING | RETURN} BULK COLLECT
    INTO bind_argument[, bind_argument ... ]];

*动态字符串必须是一个INSERT、UPDATE或DELETE语句(不可以是SELECT语句)。


例如

[sql]   view plain  copy
  1. DECLARE  
  2.   TYPE numlist IS TABLE OF NUMBER;  
  3.   TYPE namelist IS TABLE OF VARCHAR2(15);  
  4.   empcur   sys_refcursor;  
  5.   empnos   numlist;  
  6.   enames   namelist;  
  7.   sals     numlist;  
  8. BEGIN  
  9.   OPEN empcur FOR 'SELECT empno, ename FROM emp';  
  10.   FETCH empcur  
  11.     BULK COLLECT INTO empnos, enames;  
  12.   CLOSE empcur;  
  13.   
  14.   EXECUTE IMMEDIATE 'SELECT sal FROM emp'  
  15.     BULK COLLECT INTO sals;  
  16. END;  



只有INSERT、UPDATE和DELETE语句才能拥有输出绑定参数。
我们可以在EXECUTE IMMDIATE的BULK RETURNING INTO子句中进行绑定:

[sql]   view plain  copy
  1. DECLARE  
  2.   TYPE namelist IS TABLE OF VARCHAR2(15);  
  3.   enames      namelist;  
  4.   sal_amt   NUMBER       := 500;  
  5.   sql_stmt    VARCHAR(200);  
  6. BEGIN  
  7.   sql_stmt    := 'UPDATE emp SET sal = :1 RETURNING ename INTO :2';  
  8.   EXECUTE IMMEDIATE sql_stmt  
  9.               USING sal_amt  
  10.               RETURNING BULK COLLECT INTO enames;  
  11. END;  


使用FORALL语句和USING子句,但这时的SQL语句不能是查询语句,如下例:

[sql]   view plain  copy
  1. DECLARE  
  2.   TYPE numlist IS TABLE OF NUMBER;  
  3.   TYPE namelist IS TABLE OF VARCHAR2(15);  
  4.   empnos   numlist;  
  5.   enames   namelist;  
  6. BEGIN  
  7.   empnos := numlist(7369, 7499, 7521);  
  8.   FORALL i IN 1 .. 3  
  9.     EXECUTE IMMEDIATE 'UPDATE emp SET sal = sal*2 WHERE empno = :1 RETURNING ename INTO :2'  
  10.                 USING empnos(i)  
  11.                 RETURNING BULK COLLECT INTO enames;  
  12. END;  


6、动态SQL的技巧与陷阱

1)使用绑定变量来改善性能
我们可以使用绑定变量来改善性能,如下例所示,让Oracle为不同的emp_id值重用同一个游标。

[sql]   view plain  copy
  1. CREATE PROCEDURE fire_employee(emp_id NUMBER) AS  
  2. BEGIN  
  3.   EXECUTE IMMEDIATE 'DELETE FROM emp WHERE empno = :num'  
  4.               USING emp_id;  
  5. END;  


2)让过程对任意模式对象起作用

假设我们需要一个过程,让它接受数据表名,然后将指定的表从数据库中删除。
我们可能会下面这样编写使用动态SQL的过程:

[sql]   view plain  copy
  1. CREATE PROCEDURE drop_table(table_name IN VARCHAR2) AS  
  2. BEGIN  
  3.   EXECUTE IMMEDIATE 'DROP TABLE :tab'  
  4.               USING table_name;  
  5. END;  


但是,在运行的时候,这个过程会报一个表名无效的错误。
原因是不可以使用绑定参数为动态SQL传递模式对象。
解决方法是直接把参数嵌套到字符串中。把上面的EXECUTE IMMEDIATE语句修改一下:

[sql]   view plain  copy
  1. CREATE OR REPLACE PROCEDURE drop_table(table_name IN VARCHAR2) AS  
  2. BEGIN  
  3.   EXECUTE IMMEDIATE 'DROP TABLE ' || table_name;  
  4. END;  

这样,我们就可以向动态SQL语句传递任意数据表名称了。


3)使用重复占位符

动态SQL语句中的占位符与USING子句中的绑定参数是位置关联的,而不是名称关联。
所以,如果在SQL语句中同样的占位符出现两次或多次,
那么,它的每次出现都必须与一个USING子句中的绑定参数相关联。
例如下面的动态字符串:
sql_stmt := 'INSERT INTO payroll VALUES (:x, :x, :y, :x)';
我们可以为动态字符串编写对应的USING子句:
EXECUTE IMMEDIATE sql_stmt USING a, a, b, a;

但是,
动态PL/SQL块中只有唯一的占位符才与USING子句中的绑定参数按位置对应。
所以,如果一个占位符在PL/SQL块中出现两次或多次,
那么所有这样相同的占位符都只与USING语句中的一个绑定参数相对应。
比如下面的例子,第一个占位符(x)与第一个绑定参数(a)关联,第二个占位符(y)与第二个绑定参数(b)关联。

[sql]   view plain  copy
  1. DECLARE  
  2.   a   NUMBER := 4;  
  3.   b   NUMBER := 7;  
  4. BEGIN  
  5.   plsql_block := 'BEGIN calc_stats(:x, :x, :y, :x); END';  
  6.   EXECUTE IMMEDIATE plsql_block  
  7.               USING a, b;  
  8. END;  


4)使用游标属性

每个显式的游标都有四个属性:%FOUND、%ISOPEN、%NOTFOUND和%ROWCOUNT。它们都能返回与静态或动态SQL语句执行结果相关的有用信息。

为处理SQL数据操作语句,Oracle会打开一个名为SQL的隐式游标。它的属性会返回最近一次执行的INSERT、UPDATE、DELETE或单行SELECT的相关信息。例如,下面函数就使用%ROWCOUNT返回从数据表中删除的行数:

[sql]   view plain  copy
  1. CREATE FUNCTION rows_deleted(table_name IN VARCHAR2, condition IN VARCHAR2)  
  2.   RETURN INTEGER AS  
  3. BEGIN  
  4.   EXECUTE IMMEDIATE 'DELETE FROM ' || table_name || ' WHERE ' || condition;  
  5.   RETURN SQL%ROWCOUNT;   -- return number of rows deleted  
  6. END;  


5)传递空值
下面,我们来为动态SQL传递空值,见下面的EXECUTE IMMEDIATE语句:
EXECUTE IMMEDIATE 'UPDATE emp SET comm = :x' USING NULL;

但是,这个语句会因为在USING子句中使用NULL而执行失败,
因为USING语句中所传递的参数是不能为空的。
所以,要想解决这个问题,直接使用字符串就可以了:

[sql]   view plain  copy
  1. DECLARE  
  2.   a_null   CHAR(1);   -- set to NULL automatically at run time  
  3. BEGIN  
  4.   EXECUTE IMMEDIATE 'UPDATE emp SET comm = :x'  
  5.               USING a_null;  
  6. END;  


6)  远程操作

如下例所示,PL/SQL子程序能够执行引用远程数据库对象的动态SQL语句:

[sql]   view plain  copy
  1. PROCEDURE delete_dept(db_link VARCHAR2, dept_id INTEGERIS  
  2. BEGIN  
  3.   EXECUTE IMMEDIATE 'DELETE FROM dept@' || db_link || ' WHERE deptno = :num'  
  4.               USING dept_id;  
  5. END;  


同样,远程过程调用(RPC)的目标也包括动态SQL语句。
例如,假设下面返回数据表中记录个数的函数存放在Chicago的数据库上:

[sql]   view plain  copy
  1. CREATE FUNCTION row_count(tab_name VARCHAR2)  
  2.   RETURN INTEGER AS  
  3.   ROWS   INTEGER;  
  4. BEGIN  
  5.   EXECUTE IMMEDIATE 'SELECT COUNT(*) FROM ' || tab_name  
  6.                INTO ROWS;  
  7.   
  8.   RETURN ROWS;  
  9. END;  
  10.   
  11. --下面是一个从匿名SQL块调用远程函数的例子:   
  12.   
  13. DECLARE  
  14.   emp_count   INTEGER;  
  15. BEGIN  
  16.   emp_count    := row_count@chicago('emp');  
  17. END;  


7) 使用调用者权限

默认情况下,存储过程是使用定义者权限执行的,而不是调用者权限。
这样的过程是绑定在它们所属的模式对象上的。假设下面用于删除数据库对象的过程存放在模式对象scott上:

[sql]   view plain  copy
  1. CREATE PROCEDURE drop_it(kind IN VARCHAR2, NAME IN VARCHAR2) AS  
  2. BEGIN  
  3.   EXECUTE IMMEDIATE 'DROP ' || kind || ' ' || NAME;  
  4. END;  


我们把用户jones赋予允许他执行上面的存储过程的EXECUTE权限。
当用户jones调用drop_it时,动态SQL就会使用用户scott的权限来执行语句:

[sql]   view plain  copy
  1. SQL> CALL scott.drop_it('TABLE''dept');  


这由于数据表dept的前面并没有限定修饰词进行限制,语句执行时删除的就是scott上的数据表,而不是jones上的。

但是,AUTHID子句可以让存储过程按它的调用者权限来执行,
这样的存储过程就不会绑定在一个特定的schema对象上。例如下面的新版本drop_it就会按调用者权限执行:

[sql]   view plain  copy
  1. CREATE PROCEDURE drop_it(kind IN VARCHAR2, NAME IN VARCHAR2)  
  2. AUTHID CURRENT_USER AS  
  3. BEGIN  
  4.   EXECUTE IMMEDIATE 'DROP ' || kind || ' ' || NAME;  
  5. END;  


8) 使用RESTRICT_REFERENCES

从SQL语句调用函数时,我们必须要遵守一定的规则来避免负面印象。
为了检测冲突,我们可以使用编译指示RESTRICT_REFERENCES。
它能确保函数没有读和/或写数据表和/或打包变量。
但是,如果函数体包含了动态INSERT、UPDATE或DELETE语句,
那它就总与规则"write no database state" (WNDS)和"read no database state" (RNDS)相冲突。
这是因为动态SQL语句是在运行时才被检验,而不是编译期。
在一个EXECUTE IMMEDIATE语句中,只有INTO子句才能在编译期检验是否与RNDS冲突。

9)  避免死锁

有些情况下,执行DML语句会导致死锁。
例如,下面的过程就能引起死锁,因为它尝试着删除自身。
为了避免死锁,就不要用ALTER或DROP来操作正在使用的子程序或包。

[sql]   view plain  copy
  1. CREATE PROCEDURE calc_bonus (emp_id NUMBER) AS  
  2. BEGIN  
  3.   ...  
  4.   EXECUTE IMMEDIATE 'DROP PROCEDURE calc_bonus';  
zy18755122285
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Oracle动态执行SQL四种方式的例子
01-21
Oracle动态执行SQL四种方式的例子
sql占位符使用
欢迎访问,Viola的博客!
07-16 1万+
1.增加SQL代码可读性2.占位符可以预先编译,提高执行效率3.防止SQL注入4用占位符的目的是绑定变量,这样可以减少数据SQL的硬解析,所以执行效率会提高不少 绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能绑定变量是Oracle解决硬解析的首要利器,能解决OLTP系统中library cache的过度耗用以提高性能。然刀子磨的太快,...
占位符的简单介绍以及使用方法说明
2301_80240816的博客
01-23 454
我们在使用C语言编程的时候,最常用的一个函数就是printf函数,而在使用printf函数进行打印的过程中,难免会打印数值,字符等等,当这些都不为常量时,我们就得使用占位符来辅助我们打印出我们想要的东西来。因此,这篇文章我将介绍平时常用的几个占位符。本文简单介绍了常用的几种占位符,以及如何使用。我们在使用占位符的过程中一定要把占位符所占的数据类型和要打印的数值的数据类型相匹配。
SQL语句填充占位符
04-22
动态生成SQL语句,通过给定的条件自动填充预设SQL语句的配位符,而避免通过程序判断生成SQL语句
SQl语句通配符实现模糊查找
gronrui2的博客
09-11 548
SQL 中的通配符之一,用于表示任意字符的占位符。最终,在 SQL 查询中匹配包含任意前缀和后缀的。这三部分字符串连接在一起,形成一个新的字符串。函数,它会将多个字符串值连接在一起。就是模糊查询的条件,下面是用法介绍。
sql语句中的#{}占位符和${}占位符
JavaClub
06-09 8871
#方式能够很大程度防止sql注入;$方式无法防止Sql注入。
SQL占位符?的用法介绍~
热门推荐
程序人生~
11-14 3万+
Sql语句中的占位符?有什么作用 String sql = "SELECT userid,name FROM tuser WHERE userid=? AND password=?" ; pstmt = conn.prepareStatement(sql) ; pstmt.setString(1,userid) ; // 这里设置了第一个?的值 pstmt.setString(2,pas...
Oracle动态SQL
NowOrNever
10-05 1万+
原文:http://space.itpub.net/26622598/viewspace-718134 在PLSQL使用EXECUTE IMMEDIATE语句处理动态SQL语句。 语法如下: EXECUTE IMMEDIATE dynamic_string [INTO {define_variable[, define_variable]... | record}] [USING [I
MyBatis——占位符,转义字符,多元素查询(模糊查询),动态sql(多条件中多查询,多条件中单查询)
prisoneradvance的博客
03-06 1181
占位符
SQL语句中的占位符是干什么的?底层原理是什么?
长风破浪会有时的博客
05-14 1191
在PHP中,PDO和mysqli扩展都支持预处理语句,并且提供了绑定参数的方法来使用占位符。例如,使用PDO的prepare()方法准备SQL语句,然后使用bindParam()或bindValue()方法来绑定参数值。在执行时,使用execute()方法执行SQL语句即可。当一个SQL语句使用占位符时,数据库系统可以预编译该语句,并在需要执行时,只需要绑定参数并执行,避免了每次执行都需要解析和编译SQL语句的开销。它们被用来构建可重用的SQL语句,通过在运行时绑定实际的参数值,以生成具体的SQL语句
【MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
m0_58097299的博客
06-17 2785
【MyBatis学习】占位符,sql注入问题,like模糊匹配等可能出现一定的问题,赶快与我一同去了解,避免入坑吧 ! ! !
idea插件mybaits log 打印sql语句
07-23
亲测可用,jar包直接拖到idea窗口即可
mybatis 日志 sql参数替换工具
05-30
非常好用的,就是你们所要的 Mybatis日志参数快速替换占位符 sql参数替换工具html
pyMySQL SQL语句传参问题,单个参数或多个参数说明
12-17
在用pymysql操作数据库的过程中,给sql语句传参碰到了很多问题,网上传参策略很多,这里推荐两种 单个传参用%s,写起来比较简单: field = '-' sql_talk="UPDATE cnp.Test set a='' where b='%s'" cursor.execute...
关于防止sql注入的几个知识点
12-14
1.PDO预处理是。  你可以把他看成是要运行的sql的已经编译过的模板,它可以用变量参数进行定制  它有两个显著优点:  1.1:查询仅需解析一次,但可以用相同...不能这么使用占位符必须代表整个字符。所以可以这
Oracle 第二章
最新发布
m0_62008384的博客
04-18 637
select * from 表名 order by 字段;desc :从大到小排序默认是从小到大排序。
Oracle分区表和Mysql的水平分表有何区别
一蓑烟雨任平生
04-14 505
综上所述,Oracle分区表在物理存储和查询优化方面提供了更为强大的原生支持,而MySQL水平分表的灵活性较高,但管理复杂度相对较大,需要更多应用层的介入。MySQL 5.5以后增加了分区表的支持,其特点与Oracle分区表相似,但具体实现和功能细节上仍存在差异。
SQL-Oracle 获取最大值,第二大,第三大,第 N 大值
weixin_42924611的博客
04-15 385
因为rownum并不是当作实体数据存放在每一张表中,而是在每一次select查询的时候,根据基表的默认insert顺序由oracle动态分配的,有1才有2,如果rownum没有1,那么2也就没有了意义,所以这个查询就不会有任何结果出来。此时可以先取出前N大的值,到序排序,再获取第一行数据,及第N大的值。通过row_number实现,是正常显示的。发现取出的记录和第二大的值记录一样。
oracle imp导入详解
lc547913923的专栏
04-12 436
imp [username]/[password]@[ip]:1521/[数据库实例名 helowin] file=files.txt commit=y feedback=10000 buffer=40960000 inctype=RESTORE ignore=y FULL=y FILE=A。例如:SELECT t.BIGFILE,t.* FROM dba_tablespaces t where t.tablespace_name='TBS_GROUP_MEALS_TEST'
java sql 插入语句占位符
09-01
Java中的SQL插入语句占位符用于在执行SQL语句时动态传递参数值,以防止SQL注入攻击,并提高代码的可维护性。在Java中,我们可以使用PreparedStatement对象来创建带有占位符SQL插入语句。 首先,我们需要创建一个PreparedStatement对象,通过Connection对象的prepareStatement()方法来获取。在prepareStatement()方法中,我们需要传入带有占位符SQL插入语句作为参数。 例如,如果我们的SQL插入语句是"INSERT INTO table_name (column1, column2) VALUES (?, ?)",其中"?"表示占位符,我们可以这样创建 PreparedStatement 对象: PreparedStatement statement = connection.prepareStatement("INSERT INTO table_name (column1, column2) VALUES (?, ?)"); 接下来,我们可以使用setXxx()方法来为每个占位符设置参数值,其中Xxx表示参数类型,如setString()、setInt()等。例如,如果我们要为第一个占位符设置字符串参数值,可以使用setString()方法: statement.setString(1, "value1"); 同样地,我们可以为第二个占位符设置不同的参数值: statement.setString(2, "value2"); 最后,我们可以调用executeUpdate()方法来执行插入操作并返回受影响的行数。 int rowsAffected = statement.executeUpdate(); 如果需要执行多次插入操作,我们可以重复调用setXxx()方法和executeUpdate()方法。 需要注意的是,占位符的位置是从1开始的,而不是0。 通过使用SQL插入语句占位符,我们可以更加安全和灵活地执行SQL插入操作,减少了SQL注入攻击的风险,并提高了代码的可读性和可维护性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值