SQL參數化查詢:問號的秘密
在閱讀SQL書籍時,你可能會注意到查詢中經常使用問號(?)。這些問號在參數化查詢中扮演著重要角色,參數化查詢廣泛應用於程式中的動態SQL執行。
參數化查詢避免了直接使用簡單的字串查詢,它增強了安全性並防止了SQL注入漏洞。它們充當佔位符,在查詢執行時動態賦值。
考慮以下範例:
<code>ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = ?")
cmd.Parameters.Add(7)
result = cmd.Execute()</code>此處,問號(?)充當動態值7的佔位符,該值被賦值給參數'thingB'。此方法保護系統免受可能利用安全漏洞的惡意輸入的攻擊。
例如,如果使用者輸入以下惡意輸入:
<code>Robert'); DROP TABLE students; --</code>
使用參數化查詢時,函式庫會對輸入進行清理,結果為:
<code>"SELECT * FROM students WHERE name = 'Robert''); DROP TABLE students; --'"</code>
有效地阻止了攻擊者惡意意圖的執行。
某些資料庫管理系統(DBMS),例如MS SQL,使用命名參數,提高了可讀性和清晰度。例如:
<code>cmd.Text = "SELECT thingA FROM tableA WHERE thingB = @varname"
cmd.Parameters.AddWithValue("@varname", 7)
result = cmd.Execute()</code>透過使用帶有問號的參數化查詢,或在某些DBMS中使用命名參數,您可以保護您的資料庫免受注入攻擊,並維護資料的完整性。
以上是使用問號的參數化查詢如何防止 SQL 注入?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
