Comment les requêtes paramétrées utilisant des points d'interrogation empêchent-elles l'injection SQL ?-tutoriel mysql-php.cn

Maison

base de données

tutoriel mysql

Comment les requêtes paramétrées utilisant des points d'interrogation empêchent-elles l'injection SQL ?

Jan 09, 2025 pm 09:26 PM

How Do Parameterized Queries Using Question Marks Prevent SQL Injection?

Requête paramétrée SQL : le secret du point d'interrogation

Lorsque vous lisez des livres SQL, vous remarquerez peut-être que les points d'interrogation (?) sont souvent utilisés dans les requêtes. Ces points d'interrogation jouent un rôle important dans les requêtes paramétrées, largement utilisées pour l'exécution dynamique de SQL dans les programmes.

Les requêtes paramétrées évitent d'utiliser directement des requêtes de chaîne simples, ce qui améliore la sécurité et évite les vulnérabilités d'injection SQL. Ils agissent comme des espaces réservés et se voient attribuer des valeurs dynamiquement lors de l'exécution de la requête.

Considérons l'exemple suivant :

<code>ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = ?")
cmd.Parameters.Add(7)
result = cmd.Execute()</code>

Copier après la connexion

Ici, le point d'interrogation (?) fait office d'espace réservé pour la valeur dynamique 7, qui est affectée au paramètre 'thingB'. Cette méthode protège le système contre les entrées malveillantes qui pourraient exploiter des failles de sécurité.

Par exemple, si l'utilisateur saisit l'entrée malveillante suivante :

<code>Robert'); DROP TABLE students; --</code>

Copier après la connexion

Lors de l'utilisation de requêtes paramétrées, la bibliothèque nettoiera l'entrée et le résultat est :

<code>"SELECT * FROM students WHERE name = 'Robert''); DROP TABLE students; --'"</code>

Copier après la connexion

Empêche efficacement les attaquants d'exécuter leurs intentions malveillantes.

Certains systèmes de gestion de bases de données (SGBD), tels que MS SQL, utilisent des paramètres nommés, améliorant ainsi la lisibilité et la clarté. Par exemple :

<code>cmd.Text = "SELECT thingA FROM tableA WHERE thingB = @varname"
cmd.Parameters.AddWithValue("@varname", 7)
result = cmd.Execute()</code>

Copier après la connexion

En utilisant des requêtes paramétrées avec des points d'interrogation, ou en utilisant des paramètres nommés dans certains SGBD, vous pouvez protéger votre base de données contre les attaques par injection et maintenir l'intégrité de vos données.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration de ce site Web

Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn