Ano, na všechno používejte připravené výpisy.
-
Jsou analyzovány jednou.
-
Jsou imunní vůči útokům SQL injection.
-
Jsou lepší, protože musíte přemýšlet o svém SQL a o tom, jak se používá.
Pokud si myslíte, že byly použity pouze jednou, nedíváte se na celkový obraz. Jednoho dne se vaše data nebo vaše aplikace změní.
Upravit.
Proč vás připravené příkazy nutí přemýšlet o vašem SQL?
-
Když sestavíte řetězec (nebo jednoduše spustíte doslovný blok textu), nevytváříte nový
PreparedStatement
objekt. Právě spouštíte SQL -- lze to udělat velmi náhodně. -
Když musíte vytvořit (a uložit)
PreparedStatement
, musíte trochu více přemýšlet o zapouzdření, rozdělení odpovědnosti. Příprava příkazu je stavová událost před provedením jakéhokoli zpracování SQL.
Práce navíc je malá, ale ne bezvýznamná. To způsobuje, že lidé začnou přemýšlet o ORM a vrstvě ukládání dat do mezipaměti a podobně, aby optimalizovali přístup k databázi.
S připravenými výpisy je přístup k databázi méně náhodný, více záměrný.