Re: [java-list] SQL - query
Mas isso somente pode se no faz sanity check nos dados. De qq forma sempre tem que verificar se o que est recebendo o que deveria receber e no bargun. Existem sites (ate aqui no brasil) que deixam vc inserir no lugar de um endereo email o seguinte: "script language=javascriptimg src="hello:"/script Ai j era (ie.exe e explorer.exe no windooze de qq pessoa acessando essa pagina). O preparedStatement no resolve isso se o campo for String. Vc sempre precisa fazer um sanity check nos dados. Sven Leonardo Souza Mario Bueno wrote: 006401c0f821$d40ffa40$1e04010a@hendrix">Outra vantagem dos PreparedStatements que eles evitam que alguem mal intencionadopasse valores indevidos em algum campo de formulrio e faa uma caca no seu BD.Ex:String strUpdate = "update Conta set SALDO = SALDO + " + strDeposito +"where NUM_CTA= "+strConta;stmt.executeUpdate(strUpdate);Ai chega um mane e preenche o formulrio assim:Valor: 3000, TITULAR = "Cicrano"Conta: 1-1 or NUM_CTA is not nullL se foi o seu BD... pode voltar o backup.Leonardo Bueno.- Original Message -From: "Cassio Sampaio" [EMAIL PROTECTED]To: [EMAIL PROTECTED]Sent: Monday, June 18, 2001 1:21 PMSubject: Re: [java-list] SQL - query Rodrigo,As diferencas sao quanto ao tratamento que o Banco de dados vai dar ao seu comando.O Prepared statement gera um comando que fica no cache do seu banco de dados, nao necessitando o banco fazer parse a cada nova execucao, enquanto o Statement normal requer que o banco o "recompile" a cada execucao.Como via de regra sempre uso prepared Statements- CassioRodrigo Fiche wrote:Ol,Trabalho com Java/JSP e banco de dados Oracle e gostaria de tirar uma duvida, prepareStatement e createStatement, qual a diferena? em que situao melhor utilizar prepare ou statement? Abraos,RodrigoRodrigo Fichehttp://www.connection.com.br[EMAIL PROTECTED]tel. (21) 533-2716-- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usurios Java da Sucesu-SPdvidas mais comuns: http://www.soujava.org.br/faq.htmregras da lista: http://www.soujava.org.br/regras.htmpara sair da lista: envie email para [EMAIL PROTECTED]- -- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usurios Java da Sucesu-SPdvidas mais comuns: http://www.soujava.org.br/faq.htmregras da lista: http://www.soujava.org.br/regras.htmpara sair da lista: envie email para [EMAIL PROTECTED]--- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usurios Java da Sucesu-SP dvidas mais comuns: http://www.soujava.org.br/faq.htmregras da lista: http://www.soujava.org.br/regras.htmpara sair da lista: envie email para [EMAIL PROTECTED] -
[java-list] SQL - query
Olá, Trabalho com Java/JSP e banco de dados Oracle e gostaria de tirar uma duvida, prepareStatement e createStatement, qual a diferença? em que situação é melhor utilizar prepare ou statement? Abraços, Rodrigo Rodrigo Fiche http://www.connection.com.br [EMAIL PROTECTED] tel. (21) 533-2716 -- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP dúvidas mais comuns: http://www.soujava.org.br/faq.htm regras da lista: http://www.soujava.org.br/regras.htm para sair da lista: envie email para [EMAIL PROTECTED] -
Re: [java-list] SQL - query
Oi, Voce usa um prepareStatement se desejar utilizar Prepared Statements. A vantagem de se usar prepared statements é performance. Se vc usa um Statement várias vezes, cada vez a expressão SQL assoociada será compilada. No caso de um PreparedStatement, o SQL é pré compilado. Então, se vc precisar executar a mesma expressão SQL várias vezes, podendo mudar alguns valores, use um PreparedStatement. Trabalho com Java/JSP e banco de dados Oracle e gostaria de tirar uma duvida, prepareStatement e createStatement, qual a diferença? em que situação é melhor utilizar prepare ou statement? []´s -- Edward Roe -- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP dúvidas mais comuns: http://www.soujava.org.br/faq.htm regras da lista: http://www.soujava.org.br/regras.htm para sair da lista: envie email para [EMAIL PROTECTED] -
Re: [java-list] SQL - query
Outra vantagem dos PreparedStatements é que eles evitam que alguem mal intencionado passe valores indevidos em algum campo de formulário e faça uma caca no seu BD. Ex: String strUpdate = update Conta set SALDO = SALDO + + strDeposito +where NUM_CTA = +strConta; stmt.executeUpdate(strUpdate); Ai chega um mane e preenche o formulário assim: Valor: 3000, TITULAR = Cicrano Conta: 1-1 or NUM_CTA is not null Lá se foi o seu BD... pode voltar o backup. Leonardo Bueno. - Original Message - From: Cassio Sampaio [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Monday, June 18, 2001 1:21 PM Subject: Re: [java-list] SQL - query Rodrigo, As diferencas sao quanto ao tratamento que o Banco de dados vai dar ao seu comando. O Prepared statement gera um comando que fica no cache do seu banco de dados, nao necessitando o banco fazer parse a cada nova execucao, enquanto o Statement normal requer que o banco o recompile a cada execucao. Como via de regra sempre uso prepared Statements - Cassio Rodrigo Fiche wrote: Olá, Trabalho com Java/JSP e banco de dados Oracle e gostaria de tirar uma duvida, prepareStatement e createStatement, qual a diferença? em que situação é melhor utilizar prepare ou statement? Abraços, Rodrigo Rodrigo Fiche http://www.connection.com.br [EMAIL PROTECTED] tel. (21) 533-2716 -- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP dúvidas mais comuns: http://www.soujava.org.br/faq.htm regras da lista: http://www.soujava.org.br/regras.htm para sair da lista: envie email para [EMAIL PROTECTED] - -- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP dúvidas mais comuns: http://www.soujava.org.br/faq.htm regras da lista: http://www.soujava.org.br/regras.htm para sair da lista: envie email para [EMAIL PROTECTED] - -- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP dúvidas mais comuns: http://www.soujava.org.br/faq.htm regras da lista: http://www.soujava.org.br/regras.htm para sair da lista: envie email para [EMAIL PROTECTED] -
Re: [java-list] SQL - query
Boa colocacao Leonardo... Leonardo Souza Mario Bueno wrote: Outra vantagem dos PreparedStatements é que eles evitam que alguem mal intencionado passe valores indevidos em algum campo de formulário e faça uma caca no seu BD. Ex: String strUpdate = update Conta set SALDO = SALDO + + strDeposito +where NUM_CTA = +strConta; stmt.executeUpdate(strUpdate); Ai chega um mane e preenche o formulário assim: Valor: 3000, TITULAR = Cicrano Conta: 1-1 or NUM_CTA is not null Lá se foi o seu BD... pode voltar o backup. Leonardo Bueno. - Original Message - From: Cassio Sampaio [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Monday, June 18, 2001 1:21 PM Subject: Re: [java-list] SQL - query Rodrigo, As diferencas sao quanto ao tratamento que o Banco de dados vai dar ao seu comando. O Prepared statement gera um comando que fica no cache do seu banco de dados, nao necessitando o banco fazer parse a cada nova execucao, enquanto o Statement normal requer que o banco o recompile a cada execucao. Como via de regra sempre uso prepared Statements - Cassio Rodrigo Fiche wrote: Olá, Trabalho com Java/JSP e banco de dados Oracle e gostaria de tirar uma duvida, prepareStatement e createStatement, qual a diferença? em que situação é melhor utilizar prepare ou statement? Abraços, Rodrigo Rodrigo Fiche http://www.connection.com.br [EMAIL PROTECTED] tel. (21) 533-2716 -- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP dúvidas mais comuns: http://www.soujava.org.br/faq.htm regras da lista: http://www.soujava.org.br/regras.htm para sair da lista: envie email para [EMAIL PROTECTED] - -- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP dúvidas mais comuns: http://www.soujava.org.br/faq.htm regras da lista: http://www.soujava.org.br/regras.htm para sair da lista: envie email para [EMAIL PROTECTED] - -- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP dúvidas mais comuns: http://www.soujava.org.br/faq.htm regras da lista: http://www.soujava.org.br/regras.htm para sair da lista: envie email para [EMAIL PROTECTED] - begin:vcard n:Sampaio;Cassio tel;cell:55 11 9618 2484 tel;home:55 11 6967 6750 tel;work:55 11 5501 6781 (R6781) x-mozilla-html:FALSE url:http://www.ig.com.br org:iG - Internet Group do Brasil;Tecnologia adr:;;Rua Geraldo Flausino Gomes, 78 9o;Sao Paulo;SP;04575-060;Brasil version:2.1 email;internet:[EMAIL PROTECTED] title:Consultor x-mozilla-cpt:;-20512 fn:Cassio Sampaio end:vcard -- LISTA SOUJAVA http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP dúvidas mais comuns: http://www.soujava.org.br/faq.htm regras da lista: http://www.soujava.org.br/regras.htm para sair da lista: envie email para [EMAIL PROTECTED] -