SQL参数化查询能防止SQL注入的原因是什么

53次阅读
没有评论

共计 1427 个字符,预计需要花费 4 分钟才能阅读完成。

这篇文章主要介绍了 SQL 参数化查询能防止 SQL 注入的原因是什么的相关知识,内容详细易懂,操作简单快捷,具有一定借鉴价值,相信大家阅读完这篇 SQL 参数化查询能防止 SQL 注入的原因是什么文章都会有所收获,下面我们一起来看看吧。

SQL 参数化查询为什么能够防止 SQL 注入?

1、SQL 注入是什么

将 SQL 命令插入到表单提交或输入域名或页面请求的查询字符串中,欺骗服务器执行恶意的 SQL 命令。

 --  正常的查询语句
 select * from users where username =  a 
 --  恶意的查询语句
 select * from users where username =  a  or 1==1;

2、参数化查询是什么

参数化查询是指查询数据库时,在需要填入数据的地方,使用参数来给值。

set @id = 1;
SELECT * from users WHERE id = @id ;

3、SQL 语句的执行处理

SQL 语句按处理流程看有两类:即时 SQL、预处理 SQL。

即时 SQL

即时 SQL 从 DB 接收到最终执行完毕返回,大致的过程如下:

 a.  词法和语义解析
 b.  优化 sql 语句,制定执行计划
 c.  执行并返回结果

特点:一次编译,单次运行。

预处理 SQL

程序中某条 sql 可能会被反复调用,或者每次执行的时候只有个别的值不同。如果每次按即时 SQL 的流程来看,效率是比较低的。

这时候可以将 SQL 中的值用占位符代替,先生成 SQL 模板,然后再绑定参数,之后重复执行该语句的时候只需要替换参数,而不用再去进行词法和语义分析。可以视为 SQL 语句模板化或参数化。

特点:一次编译,多次运行,省去了多次解析等过程。(多次运行是指在同一会话中再次执行相同的语句,也就不会被再次解析和编译)

 --  语法
 #  定义预处理语句
 PREPARE stmt_name FROM preparable_stmt;
 #  执行预处理语句
 EXECUTE stmt_name [USING @var_name [, @var_name] ...];
 #  删除 (释放) 定义
 {DROP | DEALLOCATE} PREPARE stmt_name;

4、预处理 SQL 是如何防止 SQL 注入的

待执行的 SQL 被编译后存放在缓存池中,DB 执行 execute 的时候,并不会再去编译一次,而是找到 SQL 模板,将参数传递给它然后执行。所以类似于 or 1==1 的命令会当成参数传递,而不会进行语义解析执行。

 --  预处理编译  SQL ,会占用资源
 PREPARE stmt1 from  SELECT COUNT(*) FROM users WHERE PASSWORD = ? AND user_name = ? 
 set [@a](https://learnku.com/users/16347) =  name1 OR 1 = 1 
 set @b =  pwd1 
 EXECUTE stmt1 USING @b,[@a](https://learnku.com/users/16347);
 --  使用  DEALLOCATE PREPARE  释放资源
 DEALLOCATE PREPARE stmt1;

关于“SQL 参数化查询能防止 SQL 注入的原因是什么”这篇文章的内容就介绍到这里,感谢各位的阅读!相信大家对“SQL 参数化查询能防止 SQL 注入的原因是什么”知识都有一定的了解,大家如果还想学习更多知识,欢迎关注丸趣 TV 行业资讯频道。

正文完
 
丸趣
版权声明:本站原创文章,由 丸趣 2023-07-13发表,共计1427字。
转载说明:除特殊说明外本站除技术相关以外文章皆由网络搜集发布,转载请注明出处。
评论(没有评论)