SQL 매개변수 쿼리: 물음표의 비밀
SQL 책을 읽다 보면 쿼리에 물음표(?)가 자주 사용되는 것을 볼 수 있습니다. 이러한 물음표는 프로그램의 동적 SQL 실행에 널리 사용되는 매개변수화된 쿼리에서 중요한 역할을 합니다.
매개변수화된 쿼리는 간단한 문자열 쿼리를 직접 사용하는 것을 피하여 보안을 강화하고 SQL 주입 취약점을 방지합니다. 이는 자리 표시자 역할을 하며 쿼리가 실행될 때 값이 동적으로 할당됩니다.
다음 예를 고려해 보세요.
<code>ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = ?")
cmd.Parameters.Add(7)
result = cmd.Execute()</code>여기서 물음표(?)는 'thingB' 매개변수에 할당된 동적 값 7에 대한 자리 표시자 역할을 합니다. 이 방법은 보안 취약점을 악용할 수 있는 악의적인 입력으로부터 시스템을 보호합니다.
예를 들어, 사용자가 다음과 같은 악성 입력을 입력하는 경우:
<code>Robert'); DROP TABLE students; --</code>
매개변수화된 쿼리를 사용하는 경우 라이브러리는 입력을 삭제하며 결과는 다음과 같습니다.
<code>"SELECT * FROM students WHERE name = 'Robert''); DROP TABLE students; --'"</code>
공격자가 악의적인 의도를 실행하는 것을 효과적으로 방지합니다.
MS SQL과 같은 일부 데이터베이스 관리 시스템(DBMS)은 명명된 매개변수를 사용하여 가독성과 명확성을 향상시킵니다. 예:
<code>cmd.Text = "SELECT thingA FROM tableA WHERE thingB = @varname"
cmd.Parameters.AddWithValue("@varname", 7)
result = cmd.Execute()</code>물음표가 있는 매개변수화된 쿼리를 사용하거나 일부 DBMS에서 명명된 매개변수를 사용하면 주입 공격으로부터 데이터베이스를 보호하고 데이터 무결성을 유지할 수 있습니다.
위 내용은 물음표를 사용하는 매개변수화된 쿼리는 어떻게 SQL 삽입을 방지합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
![[웹 프런트엔드] Node.js 빠른 시작](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
