> 데이터 베이스 > MySQL 튜토리얼 > 호스팅된 환경에서 단일 실행 쿼리에 대해 준비된 문을 피해야 합니까?

호스팅된 환경에서 단일 실행 쿼리에 대해 준비된 문을 피해야 합니까?

Susan Sarandon
풀어 주다: 2024-11-02 00:10:02
원래의
1016명이 탐색했습니다.

 Should Prepared Statements Be Avoided for Single-Execution Queries in a Hosted Environment?

Prepared 문을 피해야 하는 경우

SQL 주입 공격을 방지하는 일반적인 방법은 준비된 문을 사용하는 것입니다. 그러나 준비된 문이 가장 적합한 옵션이 아닐 수도 있는 경우가 있습니다.

이 특정 사례에서 개발자는 SELECT foo,bar FROM baz WHERE quux와 같은 기본 쿼리를 사용하는 웹 애플리케이션을 다시 엔지니어링하고 있습니다. = ? ORDER BY bar LIMIT 1. 이 쿼리는 페이지 조회당 한 번만 실행됩니다. 또한 개발자는 호스팅된 환경에 있으며 추가 서버 로드를 피하는 것을 선호합니다.

이러한 고려 사항을 고려할 때 개발자는 준비된 문을 사용해야 하는지 질문합니다.

답변

Prepared 문을 피해야 하는지 결정하려면 준비된 문이 두 가지 주요 기능을 제공한다는 점을 고려해야 합니다. 이점:

  • 삽입 방지: 준비된 문은 쿼리와 별도로 매개 변수를 바인딩하여 사용자 입력이 쿼리 구조를 수정할 수 없도록 하여 SQL 주입 공격을 방지합니다.
  • 쿼리 재사용: 준비된 문은 쿼리를 다시 컴파일할 필요 없이 다양한 매개변수를 사용하여 여러 번 실행될 수 있습니다.

이 특정 시나리오에서는 각 쿼리가 페이지 히트당 한 번만 실행되므로 개발자는 쿼리 재사용에 대해 걱정하지 않습니다. 따라서 쿼리 재사용에 따른 성능상의 이점은 무시할 수 있습니다.

그러나 주입 방지 측면은 여전히 ​​문제로 남아 있습니다. 이 문제를 해결하기 위해 개발자는 에뮬레이트된 준비된 문을 사용하는 것을 고려할 수 있습니다. 이러한 명령문은 PHP 함수를 사용하여 인용 및 매개변수 대체를 처리하고 여러 데이터베이스 왕복에 따른 오버헤드 없이 SQL 주입에 대한 보호를 제공합니다.

권장사항

정보를 바탕으로 제공된 경우 준비된 문을 사용하지 않고 대신 에뮬레이트된 준비된 문을 선택하는 것이 좋습니다. 이 접근 방식은 실제 준비된 명령문에서 발생할 수 있는 추가 데이터베이스 왕복을 피하면서 SQL 주입으로부터 보호합니다.

위 내용은 호스팅된 환경에서 단일 실행 쿼리에 대해 준비된 문을 피해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

원천:php.cn
본 웹사이트의 성명
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.
저자별 최신 기사
인기 튜토리얼
더>
최신 다운로드
더>
웹 효과
웹사이트 소스 코드
웹사이트 자료
프론트엔드 템플릿