Prévenir l'injection SQL avec des requêtes paramétrées : l'approche du point d'interrogation
Les requêtes paramétrées, indiquées par le point d'interrogation (?) en SQL, constituent une défense cruciale contre les vulnérabilités d'injection SQL. Ces requêtes sont essentielles lors de la construction et de l'exécution dynamique d'instructions SQL au sein d'un programme.
Le principal avantage des requêtes paramétrées par rapport aux requêtes construites manuellement réside dans une sécurité renforcée. La bibliothèque de base de données gère l'insertion de paramètres, appliquant automatiquement les mécanismes d'échappement nécessaires pour empêcher l'injection de code malveillant. Considérez cet exemple vulnérable :
<code class="language-sql">string s = getStudentName(); cmd.CommandText = "SELECT * FROM students WHERE (name = '" + s + "')"; cmd.Execute();</code>
Si un utilisateur saisit : Robert'); DROP TABLE students; --
La requête résultante devient susceptible d'être attaquée.
La solution consiste à utiliser des requêtes paramétrées :
<code class="language-sql">s = getStudentName(); cmd.CommandText = "SELECT * FROM students WHERE name = ?"; cmd.Parameters.Add(s); cmd.Execute();</code>
La bibliothèque nettoie désormais l'entrée, rendant le code malveillant inoffensif : la requête devient effectivement "SELECT * FROM students WHERE name = 'Robert''); DROP TABLE students; --'" — le code injecté est traité comme du texte littéral.
Bien que le point d'interrogation soit un espace réservé largement utilisé, d'autres systèmes de bases de données, tels que MS SQL Server, utilisent des paramètres nommés (par exemple, @varname) pour une meilleure lisibilité :
<code class="language-sql">cmd.Text = "SELECT thingA FROM tableA WHERE thingB = @varname";
cmd.Parameters.AddWithValue("@varname", 7);
result = cmd.Execute();</code>Cette approche offre les mêmes avantages en matière de sécurité avec une identification plus claire des paramètres.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Comment résoudre l'échec DNS
Comment récupérer des données après le formatage
Les factures de téléphone de recharge Douyin peuvent-elles être remboursées ?
Quelles sont les différences entre hiberner et mybatis
utilisation de Preventdefault()
Pourquoi ne puis-je pas accéder au navigateur Ethereum ?
Que signifie STO dans la blockchain ?
Comment utiliser l'ajout en python
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
