存储过程

什么是存储过程呢？

存储过程就是作为可执行对象存放在数据库中的一个或多个SQL命令。 
通俗来讲：存储过程其实就是能完成一定操作的一组SQL语句。

 存储过程Procedure是一组为了完成特定功能的SQL语句集合，经编译后存储在数据库中，用户通过指定存储过程的名称并给出参数来执行；存储过程中可以包含逻辑控制语句和数据操纵语句，它可以接受参数、输出参数、返回单个或多个结果集以及返回值。

 

那为什么要用存储过程呢？

 1. 提高应用程序的通用性和可移植性：存储过程创建后，可以在程序中被多次调用，而不必重新编写该存储过程的SQL语句。并且数据库专业人员可以随时对存储过程进行修改，且对程序源代码没有影响，这样就极大的提高了程序的可移植性。

  2. 可以更有效的管理用户操作数据库的权限：在Sql Server数据库中，系统管理员可以通过对执行某一存储过程的权限进行限制，从而实现对相应的数据访问进行控制，避免非授权用户对数据库的访问，保证数据的安全。

   3.可以提高SQL的速度，存储过程是编译过的，如果某一个操作包含大量的SQL代码或分别被执行多次，那么使用存储过程比直接使用单条SQL语句执行速度快的多。

    4. 减轻服务器的负担：当用户的操作是针对数据库对象的操作时，如果使用单条调用的方式，那么网络上还必须传输大量的SQL语句，如果使用存储过程，则直接发送过程的调用命令即可，降低了网络的负担。

存储过程实例：https://www.cnblogs.com/xiangzhong/p/5038338.html

 

下面通过存储过程避免sql注入的观点仅供参考：

注入的根源在拼接。无论是单独使用参数化，还是使用存储过程+参数化，都只是一种形式，其本质是为了提供一个避免拼接的环境。不要被形式迷惑，要明白实质。很多人把避免SQL注入的方法概括为“用参数化”或者“用存储过程+参数化”。其实这种表面化的说法往往误导了初学者。避免SQL注入，应该概括为“避免SQL拼接”。为什么参数化不会被注入？因为参数化是用参数来代替字段值，参与指令的编译，编译后才把参数值传递进去，这样这个值就会被当成单纯的值来对待，值里面被恶意加入的SQL指令就不会被执行。这引出了参数化的另一个好处，就是参数化查询是一次编译多次执行，每次查询只把接收到的参数值传递给编译结果就行了，不必重新编译整条指令；而拼接字符串，因为直接把值拼进指令里，所以数据库每次收到的都是不同的查询指令，因此每查询一次就得编译一次。

 

存储过程能免受SQL注入攻击。这是不对，只能阻止某些种类的攻击
存储过程如果使用未筛选的输入，容易受攻击。
使用存储过程，则应使用参数Parameter作为存储过程的输入
测试输入的大小和数据类型，强制执行适当的限制。。 
测试字符串变量的内容，只接受所需的值。 
绝不直接使用用户输入内容来生成 Transact-SQL 语句。 
使用存储过程来验证用户输入。 
在多层环境中，所有数据都应该在验证之后才允许进入可信区域。
实现多层验证