一、什么是PreparedStatement 参阅Java API文档,我们可以知道,PreparedStatement是Statement的子接口(如图所示),表示预编译的 SQL 语句的对象,SQL 语句被预编译并存储在PreparedStatement对象中。然后可以使用此对象多次高效...
分类:
数据库 时间:
2014-10-20 11:40:15
阅读次数:
265
这个漏洞昨天爆出的 ,今天才有时间看代码。
在Drupal中,执行sql语句都是使用PDO模型进行的,这样做一般来说是可以规避大多数的注入,因为占位符的使用对sql语句的语法进行了限制。
但是这也不意味着绝对的安全,比如这次的漏洞。
在Drupal的user模块中,找到user.module:
$account = db_query("SELECT * FROM {users} WHERE...
分类:
数据库 时间:
2014-10-17 15:31:02
阅读次数:
309
已经安装了SQL server 2005 怎么确定它是企业版 还是标准版???执行sql:SELECT @@VERSION在结果里看,比如我这里是(里面有Enterprise Edition,表示企业版):Microsoft SQL Server 2005 - 9.00.4035.00 (Int.....
分类:
数据库 时间:
2014-10-17 01:24:53
阅读次数:
475
程序中执行 "SELECT t.EVENT_TYPE_ID FROM RATABLE_EVENT_TYPE t WHERE t.NAME='帐期末费用转移事件'" 报错
错误码:1267 不合法的混合字符集。
错误信息:mix of collations (gbk_bin,IMPLICIT) and (latin1_swedish_ci,COERCIBLE) for ope...
分类:
数据库 时间:
2014-10-16 21:43:03
阅读次数:
211
java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用 PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为 PreparedStatement不允许在不同的...
分类:
数据库 时间:
2014-10-16 18:23:42
阅读次数:
238
关于用Hibernate执行sql查询,字符字段类型只返回第一个字节的问题...
分类:
数据库 时间:
2014-10-16 14:19:32
阅读次数:
155
JDBC是Sun公司制定的一个能够用Java语言连接数据库的技术。一、JDBC基础知识 JDBC(Java Data Base Connectivity,java数据库连接)是一种用于执行SQL语句的Java API,能够为多种关系数据库提供统一訪问,它由一组用Java语言编写的类和接...
分类:
数据库 时间:
2014-10-16 14:09:22
阅读次数:
380
Ibatis.Net遇到超时异常:Timeout expired , The timeout period elapsed prior to completion of the operation or the server is not responding
分类:
数据库 时间:
2014-10-16 12:44:12
阅读次数:
251
经常操作数据库的码农们一定知道操作数据库是一项很复杂的工作,它不仅要解决各种乱码的问题还要解决各种数据表的增删改查等的操作。
另外每次操作数据库都要用到数据库连接、执行SQL语句、关闭连接的操作,所以在这里我就把这些功能封装到了一个工具类中,该类使用的是反射机制写成的,也就是说它可以帮助你完成对任何数据表的操作。关键代码如下:
首先是配置文件:config.properties
dr...
分类:
数据库 时间:
2014-10-15 23:26:31
阅读次数:
353
今天遇到了一个奇葩的问题:存储过程中的sql字符串拼接的太长,超出了分页存储过程执行sql参数的nvarchar(4000)的长度。没办法,只能修改自己的存储过程,因为分页存储过程是不能动的。开始想到的方法是将里层的select语句抽出来,用exec(strInnerSql)执行,将查询胡来的数据放...
分类:
数据库 时间:
2014-10-15 18:05:51
阅读次数:
398
