Bagaimanakah parameter SQL boleh menghalang serangan suntikan SQL?-tutorial mysql-php.cn

Bagaimanakah parameter SQL boleh menghalang serangan suntikan SQL?

Patricia Arquette

Lepaskan： 2025-01-25 14:07:08

asal

309 orang telah melayarinya

How Can SQL Parameters Prevent SQL Injection Attacks?

Melindungi pangkalan data anda: Kepentingan parameter SQL

secara langsung membenamkan data yang dibekalkan pengguna ke dalam pertanyaan SQL adalah risiko keselamatan yang signifikan. Menggunakan pertanyaan parameter adalah penting untuk mencegah serangan suntikan SQL.

suntikan SQL mengeksploitasi kelemahan dengan membenarkan penyerang menyuntik kod jahat ke dalam pertanyaan pangkalan data melalui input pengguna. Sebagai contoh, pertanyaan terdedah:

<code class="language-sql">SELECT empSalary FROM employee WHERE salary = txtSalary.Text</code>

Salin selepas log masuk

boleh dieksploitasi dengan input seperti:

<code class="language-sql">'0 OR 1=1'</code>

Salin selepas log masuk

Ini akan mengembalikan semua gaji pekerja, pelanggaran data yang serius. Lebih banyak serangan yang merosakkan dapat memadam data atau bahkan memusnahkan keseluruhan jadual pangkalan data.

Pertanyaan parameternya menawarkan pertahanan yang mantap. Mereka memisahkan kod SQL dari data, memastikan semua input dianggap sebagai data, bukan kod yang boleh dilaksanakan. Ini menghalang kod berniat jahat daripada ditafsirkan sebagai perintah SQL.

Kebanyakan bahasa pengaturcaraan menyokong pertanyaan parameter. Inilah contoh menggunakan .net:

<code class="language-csharp">string sql = "SELECT empSalary FROM employee WHERE salary = @salary";

using (var connection = new SqlConnection(/* connection info */))
using (var command = new SqlCommand(sql, connection))
{
    var salaryParam = new SqlParameter("@salary", SqlDbType.Money);
    salaryParam.Value = txtSalary.Text;

    command.Parameters.Add(salaryParam);
    var results = command.ExecuteReader();
}</code>

Salin selepas log masuk

Kod ini dengan selamat mengendalikan input pengguna (

), mencegah suntikan SQL. Sentiasa mengutamakan pertanyaan parameter untuk melindungi pangkalan data anda dari serangan berniat jahat. Tidak pernah membenamkan input pengguna secara langsung ke dalam penyataan SQL anda. txtSalary.Text

Atas ialah kandungan terperinci Bagaimanakah parameter SQL boleh menghalang serangan suntikan SQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!