SQL パラメータ化クエリが SQL インジェクションを妨げる理由を分析した記事

この記事は、mysql に関する関連知識を提供します。主に、SQL パラメータ化されたクエリが SQL インジェクションを防ぐ理由について説明します。興味のある方は、以下を参照してください。皆さんのお役に立てれば幸いです。

SQL パラメーター化クエリによって SQL インジェクションが防止されるのはなぜですか?

1. SQL インジェクションとは何ですか?

フォーム送信または入力ドメイン名またはページ リクエストのクエリ文字列に SQL コマンドを挿入し、サーバーをだまして悪意のある SQL コマンドを実行します。

 -- 正常的查询语句
 select * from users where username = 'a';

 -- 恶意的查询语句
 select * from users where username = 'a' or 1==1;

2.パラメータ化クエリとは

パラメータ化クエリとは、データベースにクエリを実行するときにデータを入力する必要がある値をパラメータを使用して指定することを指します。

set @id = 1;
SELECT * from users WHERE id = @id ;

3. SQL 文の実行処理

SQL 文には処理の流れによりリアルタイム SQL と前処理 SQL の 2 種類があります。

• リアルタイム SQL

リアルタイム SQL は DB から受信され、最終実行が完了した後に返されます。一般的なプロセスは次のとおりです。次のようになります。

  a. 词法和语义解析
  b. 优化sql语句，制定执行计划
  c. 执行并返回结果

機能 : コンパイルは 1 回、実行は 1 回です。

• SQL の前処理

プログラム内の特定の SQL が繰り返し呼び出されたり、毎回個々の値だけが異なったりする場合があります。実行されました。リアルタイム SQL 処理を毎回見ると、効率は比較的低くなります。

現時点では、SQL の値をプレースホルダーに置き換えることができます。最初に SQL テンプレートを生成し、次にパラメーターをバインドします。ステートメントを繰り返し実行する場合は、パラメーターを置き換えるだけで済みます。字句解析および意味解析を実行します。テンプレート化またはパラメータ化された SQL ステートメントと見なすことができます。

機能: 1 回のコンパイルと複数回の実行により、複数の解析やその他のプロセスが不要になります。 (複数の実行とは、同じセッション内で同じステートメントを再度実行することを指します。そのため、再度解析およびコンパイルされることはありません)

  -- 语法
  # 定义预处理语句
  PREPARE stmt_name FROM preparable_stmt;
  # 执行预处理语句
  EXECUTE stmt_name [USING @var_name [, @var_name] ...];
  # 删除(释放)定义
  {DROP | DEALLOCATE} PREPARE stmt_name;

4. SQL の前処理によって SQL インジェクションがどのように防止されるか

実行される SQL はコンパイルされ、キャッシュ プールに保存されます。DB が実行するとき、再度コンパイルすることはありません。代わりに、SQL テンプレートを見つけてパラメータを渡して実行します。したがって、または 1==1 に類似したコマンドはパラメータとして渡され、意味的に解析および実行されません。

 -- 预处理编译 SQL ，会占用资源
 PREPARE stmt1 from 'SELECT COUNT(*) FROM users WHERE PASSWORD = ? AND user_name = ?';

 set [@a](https://learnku.com/users/16347) = 'name1 OR 1 = 1';
 set @b = 'pwd1';

 EXECUTE stmt1 USING @b,[@a](https://learnku.com/users/16347);

 -- 使用 DEALLOCATE PREPARE 释放资源
 DEALLOCATE PREPARE stmt1;

推奨学習: 「MySQL ビデオ チュートリアル 」

以上がSQL パラメータ化クエリが SQL インジェクションを妨げる理由を分析した記事の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。