https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Prepared_StatementPrepared Statement - Versionsgeschichte2026-05-26T07:31:30ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Prepared_Statement&diff=1008664&oldid=previmported>RolandIllig: Code aufgeräumt2021-07-14T21:41:00Z<p>Code aufgeräumt</p>
<p><b>Neue Seite</b></p><div>Ein '''Prepared Statement''' ist eine sogenannte vorbereitete Anweisung für ein [[Datenbanksystem]].<br />
Im Gegensatz zu gewöhnlichen Statements enthält es noch keine Parameterwerte. Stattdessen werden dem Datenbanksystem Platzhalter übergeben.<br />
<br />
Mittels Prepared Statements können [[SQL-Injection]]s effektiv verhindert werden, da das Datenbanksystem die Gültigkeit von Parametern prüft, bevor diese verarbeitet werden.<br />
<br />
Soll ein Statement mit unterschiedlichen Parametern mehrere Male (z.&nbsp;B. innerhalb einer Schleife) auf dem Datenbanksystem ausgeführt werden, können Prepared Statements einen Geschwindigkeitsvorteil bringen, da das Statement schon vorübersetzt im Datenbanksystem vorliegt und nur noch mit den neuen Parametern ausgeführt werden muss.<br />
<br />
Beispiel eines Prepared Statement in Java:<br />
<syntaxhighlight lang="java"><br />
// Statement wird erzeugt<br />
PreparedStatement ps = connection.prepareStatement(<br />
"SELECT user, password FROM tbl_user WHERE user = ?"<br />
);<br />
<br />
// Parameter werden übergeben<br />
ps.setString(1, username);<br />
<br />
// Statement wird ausgeführt.<br />
ResultSet rs = ps.executeQuery();<br />
</syntaxhighlight><br />
<br />
Beispiel eines Prepared Statement in PHP mit [[PHP Data Objects]]<ref>{{Internetquelle | url=https://www.php.net/manual/de/pdo.prepared-statements.php | titel=Prepared Statements und Stored Procedures | zugriff=2011-09-25}}</ref>:<br />
<syntaxhighlight lang="php"><br />
<?php<br />
$stmt = $dbh->prepare('SELECT user, password FROM tbl_user WHERE user = :user');<br />
$stmt->bindParam(':user', $user);<br />
<br />
// eine Zeile abfragen<br />
$user = 'Alice';<br />
$stmt->execute();<br />
<br />
// eine weitere Zeile mit anderen Werten abfragen<br />
$user = 'Bob';<br />
$stmt->execute();<br />
?><br />
</syntaxhighlight><br />
<br />
== Weblinks ==<br />
<br />
* [https://kushellig.de/prepared-statements-php-mysqli/ Ausführliches Prepared-Statements-Tutorial (PHP und mysqli)]<br />
* [https://www.sjmp.de/wp-content/uploads/2011/03/PHP-MySQL-Mehr-Sicherheit-und-erhoehte-Performance-durch-MySQLi-und-Prepared-Statements-IT-Grundschutz-hakin9-03-2011.pdf ''PHP/MySQL: Mehr Sicherheit und erhöhte Performance durch MySQLi und Prepared Statements''.] (PDF; 419&nbsp;kB)<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:SQL]]</div>imported>RolandIllig