什么是存储过程呢?
存储过程就是作为可执行对象存放在数据库中的一个或多个SQL命令。
通俗来讲:存储过程其实就是能完成一定操作的一组SQL语句。
存储过程Procedure是一组为了完成特定功能的SQL语句集合,经编译后存储在数据库中,用户通过指定存储过程的名称并给出参数来执行;存储过程中可以包含逻辑控制语句和数据操纵语句,它可以接受参数、输出参数、返回单个或多个结果集以及返回值。
那为什么要用存储过程呢?
1. 提高应用程序的通用性和可移植性:存储过程创建后,可以在程序中被多次调用,而不必重新编写该存储过程的SQL语句。并且数据库专业人员可以随时对存储过程进行修改,且对程序源代码没有影响,这样就极大的提高了程序的可移植性。
2. 可以更有效的管理用户操作数据库的权限:在Sql Server数据库中,系统管理员可以通过对执行某一存储过程的权限进行限制,从而实现对相应的数据访问进行控制,避免非授权用户对数据库的访问,保证数据的安全。
3.可以提高SQL的速度,存储过程是编译过的,如果某一个操作包含大量的SQL代码或分别被执行多次,那么使用存储过程比直接使用单条SQL语句执行速度快的多。
4. 减轻服务器的负担:当用户的操作是针对数据库对象的操作时,如果使用单条调用的方式,那么网络上还必须传输大量的SQL语句,如果使用存储过程,则直接发送过程的调用命令即可,降低了网络的负担。
存储过程实例:https://www.cnblogs.com/xiangzhong/p/5038338.html
下面通过存储过程避免sql注入的观点仅供参考:
注入的根源在拼接。无论是单独使用参数化,还是使用存储过程+参数化,都只是一种形式,其本质是为了提供一个避免拼接的环境。不要被形式迷惑,要明白实质。很多人把避免SQL注入的方法概括为“用参数化”或者“用存储过程+参数化”。其实这种表面化的说法往往误导了初学者。避免SQL注入,应该概括为“避免SQL拼接”。为什么参数化不会被注入?因为参数化是用参数来代替字段值,参与指令的编译,编译后才把参数值传递进去,这样这个值就会被当成单纯的值来对待,值里面被恶意加入的SQL指令就不会被执行。这引出了参数化的另一个好处,就是参数化查询是一次编译多次执行,每次查询只把接收到的参数值传递给编译结果就行了,不必重新编译整条指令;而拼接字符串,因为直接把值拼进指令里,所以数据库每次收到的都是不同的查询指令,因此每查询一次就得编译一次。
存储过程能免受SQL注入攻击。这是不对,只能阻止某些种类的攻击
存储过程如果使用未筛选的输入,容易受攻击。
使用存储过程,则应使用参数Parameter作为存储过程的输入
测试输入的大小和数据类型,强制执行适当的限制。。
测试字符串变量的内容,只接受所需的值。
绝不直接使用用户输入内容来生成 Transact-SQL 语句。
使用存储过程来验证用户输入。
在多层环境中,所有数据都应该在验证之后才允许进入可信区域。
实现多层验证