Gespeicherte Prozedur

Eine gespeicherte Prozedur ({{Modul:Vorlage:lang}} Modul:Vorlage:lang:103: attempt to index field 'wikibase' (a nil value)) ist eine Anweisung in Datenbankmanagementsystemen, mit der ganze Abläufe von Anweisungen vom Datenbank-Client aufgerufen werden können. Sie ist somit ein eigenständiger Befehl, der eine Abfolge gespeicherter Befehle ausführt. Gespeicherte Prozeduren werden im Data-Dictionary der jeweiligen Datenbank gespeichert.

Mittels gespeicherter Prozeduren können häufiger verwendete Abläufe, die sonst durch viele einzelne Befehle vom Client ausgeführt werden würden, auf das Datenbanksystem ausgelagert und durch einen einzigen Aufruf (CALL oder EXECUTE) ausgeführt werden (siehe auch Client-Server-System). Mitunter wird dadurch die Leistung gesteigert, da weniger Daten zwischen Client und Datenbanksystem ausgetauscht werden müssen und das Datenbankmanagementsystem häufig auf leistungsfähigeren Servern läuft.

Neben der gewöhnlichen Syntax der Abfragesprache, meist SQL, können in gespeicherten Prozeduren auch zusätzliche Befehle zur Ablaufsteuerung oder Auswertung von Bedingungen hinzugefügt werden. Damit können sie mit Makrosprachen bestimmter Anwendungsprogramme verglichen werden. Oft wird das verwendete SQL um herstellerspezifische Funktionen erweitert. Auch der Einsatz anderer Programmiersprachen wie etwa Java oder C# ist inzwischen teilweise möglich.

Gespeicherte Prozeduren tragen dazu bei, die Sicherheit einer Anwendung stark zu erhöhen. Da der Client in der Regel keine DELETE-, UPDATE- oder INSERT-Zugriffsrechte mehr benötigt, ist es Angreifern nicht möglich, selbst Datenbanken zu manipulieren, z. B. durch SQL-Injection. Der Client hat ausschließlich die Möglichkeit, bereits vorgefertigte Prozeduren aufzurufen. So können Softwareentwickler vermeiden, dass ein ungewünschtes Verhalten von Dritten hervorgerufen werden kann.

„In diesen Konstrukten sind SQL-Injection-Angriffe fast unmöglich. Eine theoretische Chance besteht jedoch weiterhin.“

– <templatestyles src="Person/styles.css" />Christopher Kunz: PHP-Sicherheit (Seite 143)<ref>Christopher Kunz, Stefan Esser: PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren. 3. Auflage. dpunkt.verlag, Heidelberg 2008, ISBN 978-3-89864-535-5.</ref>

Vorlage:Zitat: Ungültiger Wert: ref=

Implementierung

Datenbanksystem	Implementierungssprache
Db2	SQL PL
Firebird	PSQL (teilweise auch Oracles PL/SQL)
Informix	S PL<ref>Informix Guide to SQL: Tutorial, Kapitel 10, Creating & Using SPL Routines, S. 371</ref><ref>Informix Guide to SQL: Reference and Syntax, Kapitel 3, SPL Statements, S. 901</ref>
Oracle	PL/SQL und Java
Microsoft SQL Server	Transact-SQL und diverse .NET Framework Sprachen
MySQL, MariaDB	SQL:2003<ref>MySQL 5.5 Reference Manual: `CREATE PROCEDURE` and `CREATE FUNCTION` Syntax. Oracle, abgerufen am 25. Februar 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)). </ref>
PostgreSQL	PL/pgSQL und viele weitere eigene Sprachkonstrukte wie PL/Tcl, PL/Perl oder PL/Python
SQLite	nicht verfügbar

Extended Stored Procedure

Extended Stored Procedure (Abkürzung: XP) ist eine von Microsoft SQL erweiterte Form der Stored procedure. XPs erlauben durch die Verwendung von DLLs komplexere Prozesse auszuführen. Je nach Microsoft SQL-Version sind diverse erweiterte gespeicherte Prozeduren vordefiniert,<ref>General Extended Stored Procedures (Transact-SQL). Microsoft MSDN</ref> während Administratoren weitere hinzufügen können.<ref>Adding an Extended Stored Procedure to SQL Server. Microsoft MSDN</ref>

Microsoft hat die Verwendung von XPs inzwischen als deprecated gekennzeichnet, was bedeutet, dass zukünftige Microsoft SQL-Versionen erweiterte Prozeduren nicht mehr unterstützen werden. Microsoft SQL Server 2012 unterstützt XPs allerdings noch. Als Ersatz nennt Microsoft die Verwendung der Laufzeitumgebung Common Language Runtime.<ref>Deprecated Database Engine Features in SQL Server 2012. Microsoft MSDN</ref>

Beispiele

Die folgende gespeicherte Prozedur in SQL hat zwei Parameter @VorlNr, @PersNr vom Datentyp Integer<ref>Microsoft Docs: Create a Stored Procedure</ref>

<syntaxhighlight lang="sql"> CREATE PROCEDURE GibVorlesungen

   @VorlNr INT,
   @PersNr INT

AS

   SELECT Vorlesung.VorlNr, Vorlesung.Titel, Professor.PersNr, Professor.Name
   FROM Professor INNER JOIN Vorlesung
   ON Professor.PersNr = Vorlesung.PersNr
   WHERE VorlNr = @VorlNr AND PersNr = @PersNr;

</syntaxhighlight>Der Aufruf<syntaxhighlight lang="sql"> EXECUTE GibVorlesungen 1001, 15; </syntaxhighlight>könnte folgendes Ergebnis zurückgeben (siehe SQL - Sicht):

VorlNr	Titel	PersNr	Name
1001	Datenbanken	15	Urlauber

Siehe auch

User Defined Function

Literatur

Guy Harrison und Steven Feuerstein: MySQL Stored Procedure Programming. 1. Auflage. O’Reilly Media, 2006, ISBN 978-0-596-10089-6, S. 640.
Informix Software: Informix Guide to SQL: Tutorial. 2. Auflage. Prentice Hall PTR, 1999, ISBN 978-0-13-016165-9, S. 350.
Informix Software: Informix Guide to SQL: Reference and Syntax. 2. Auflage. Prentice Hall PTR, 1999, ISBN 978-0-13-016166-6, S. 1776.

Weblinks

Firebird 2.0 Online Manual: Overview of PSQL Stored Procedures. Janus Software, abgerufen am 25. Februar 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).
Peter Gulutzan: MySQL 5.0 Stored Procedures. (PDF; 588 kB) Oracle, Mai 2005, abgerufen am 25. Februar 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).
PostgreSQL Documentation: Procedural Languages. PostgreSQL Global Development Group, abgerufen am 25. Februar 2010 (Lua-Fehler in Modul:Multilingual, Zeile 153: attempt to index field 'data' (a nil value)).

Einzelnachweise