Gespeicherte Prozedur

Eine gespeicherte Prozedur (englisch stored procedure) ist eine Anweisung in Datenbankmanagementsystemen, mit der ganze Abläufe von Anweisungen vom Datenbank-Client aufgerufen werden können. Sie ist somit ein eigenständiger Befehl, der eine Abfolge gespeicherter Befehle ausführt. Gespeicherte Prozeduren werden im Data-Dictionary der jeweiligen Datenbank gespeichert.

Mittels gespeicherter Prozeduren können häufiger verwendete Abläufe, die sonst durch viele einzelne Befehle vom Client ausgeführt werden würden, auf das Datenbanksystem ausgelagert und durch einen einzigen Aufruf (CALL oder EXECUTE) ausgeführt werden (siehe auch Client-Server-System). Mitunter wird dadurch die Leistung gesteigert, da weniger Daten zwischen Client und Datenbanksystem ausgetauscht werden müssen und das Datenbankmanagementsystem häufig auf leistungsfähigeren Servern läuft.

Neben der gewöhnlichen Syntax der Abfragesprache, meist SQL, können in gespeicherten Prozeduren auch zusätzliche Befehle zur Ablaufsteuerung oder Auswertung von Bedingungen hinzugefügt werden. Damit können sie mit Makrosprachen bestimmter Anwendungsprogramme verglichen werden. Oft wird das verwendete SQL um herstellerspezifische Funktionen erweitert. Auch der Einsatz anderer Programmiersprachen wie etwa Java oder C# ist inzwischen teilweise möglich.

Gespeicherte Prozeduren tragen dazu bei, die Sicherheit einer Anwendung stark zu erhöhen. Da der Client in der Regel keine DELETE-, UPDATE- oder INSERT-Zugriffsrechte mehr benötigt, ist es Angreifern nicht möglich, selbst Datenbanken zu manipulieren, z. B. durch SQL-Injection. Der Client hat ausschließlich die Möglichkeit, bereits vorgefertigte Prozeduren aufzurufen. So können Softwareentwickler vermeiden, dass ein ungewünschtes Verhalten von Dritten hervorgerufen werden kann.

1. ↑ Christopher Kunz, Stefan Esser: PHP-Sicherheit: PHP/MySQL-Webanwendungen sicher programmieren. 3. Auflage. dpunkt.verlag, Heidelberg 2008, ISBN 978-3-89864-535-5.