Prepared Statements -- sinnvoll bei Webanwendungen?

Hallo,

Prepared Statements sollen ja im wesentlichen zwei Vorteile bieten:
1) Bessere Performance, weil nicht jedesmal dasselbe Statement neu
vorbereit werden muß und
2) Mehr Sicherheit gegen SQL-Injection u.ä. Böswilligkeiten.

Da ein solches Statement aber nur so lange "lebt" wie das laufende
Script (bzw. die aktuelle DB-Verbindung), und dieses wohl nur höchst
selten dieselbe Anweisung mehrfach ausführen wird, scheint mir Punkt 1)
im Fall von Webanwendungen irrelevant zu sein. Und die von der
jeweiligen DB-Erweiterung bereitgestellten Escape-Funktionen sollten
doch ihren Job tun und damit -- Punkt 2) -- die gleiche Sicherheit
bieten. Da außerdem die Verwendung von prepared Statements etwas
umständlicher ist als normales Escapen ohne Verwendung letzterer, frage
ich mich, ob es sinnvoll ist, dieses Feature bei Webanwendungen
überhaupt zu verwenden.

Hat jemand ein paar konstruktive Denkanstöße bzw. Argumente zu dem Thema?

Gruß,
Thomas

--
Ce n'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison!
(Coluche)

[ Auf dieses Posting antworten ]

Antworten

Christoph Herrmann (02.05.2009 20:26)

Thomas Mlynarczyk (02.05.2009 21:33)

Christoph Herrmann (03.05.2009 13:16)

Thomas Mlynarczyk (03.05.2009 18:39)

Claus Reibenstein (03.05.2009 14:19)

Claus Reibenstein (03.05.2009 14:24)

Thomas Mlynarczyk (03.05.2009 19:09)

Andreas Baer (04.05.2009 12:50)

Thomas Mlynarczyk (04.05.2009 13:41)

Stefan Dreyer (07.05.2009 16:13)
Thomas Mlynarczyk (08.05.2009 17:11)
Stefan Dreyer (11.05.2009 11:23)
Thomas Mlynarczyk (11.05.2009 13:31)
Stefan Dreyer (11.05.2009 15:20)
Thomas Mlynarczyk (12.05.2009 16:21)
Stefan Dreyer (14.05.2009 11:15)

Thomas Mlynarczyk (03.05.2009 19:01)

Claus Reibenstein (03.05.2009 22:42)

Thomas Mlynarczyk (04.05.2009 13:28)

Claus Reibenstein (04.05.2009 14:23)

Thomas Mlynarczyk (05.05.2009 17:58)
Michael Fesser (05.05.2009 19:04)

Kristian_Köhntopp (02.05.2009 21:40)