libpqxx: Prepared statement

0

1

Доброго времени суток!

Скажите, что лучше для выполнения запросов - использовать prepared statement для задания параметров или подставлять их значения напрямую в текст запроса? Все запросы - вызовы хранимых процедур.

Первый вариант кажется мне более удобным отсутствием необходимости каждый раз формировать строку запроса. Нет ли у данного подхода каких-либо подводных камней?

Спасибо.

Ссылка

←	[libmp3lame] Несколько вопросов.

DrRacket модули

→

использовать prepared statement

Только так

Первый вариант кажется мне более удобным отсутствием необходимости каждый раз формировать строку запроса

И не только, он ещё и правильный и более эффективный в плане производительности.

UVV ★★★★★
(13.11.10 15:37:28 MSK)

Ссылка

Если мне не изменяет память, libpqxx - это PostgreSQL, тогда там есть пара нюансов с prepared statements для целочисленных типов.

UVV ★★★★★
(13.11.10 15:38:59 MSK)

Ссылка

>подставлять их значения напрямую в текст запроса

здравствуй sql-инъекция :).

как уже выше сказали, правильно будет использовать параметризированные запросы. это во-первых безопасно, во-вторых - план запроса в таких случаях строится один раз, все последующие вызовы этого SQL-запроса уже будут брать план из кеша.

Deleted
(13.11.10 16:53:56 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	[libmp3lame] Несколько вопросов.

Development

DrRacket модули

→

Похожие темы