SQL參數化查詢與問號
查閱SQL文件時,您可能會在查詢中遇到問號(?)。這些佔位符代表參數化查詢,廣泛用於在程式中執行動態SQL。
參數化查詢具有諸多優勢。它們透過將參數值與查詢本身分開來簡化程式碼,使其更有效率、更靈活。此外,它們透過防止SQL注入攻擊來增強安全性。
例如,在一個偽代碼範例中:
<code>ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = 7")
result = cmd.Execute()</code>可以改寫為:
<code>ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = ?")
cmd.Parameters.Add(7)
result = cmd.Execute()</code>此技術確保正確的字串轉義,消除了SQL注入的風險。考慮以下場景:
<code>string s = getStudentName() cmd.CommandText = "SELECT * FROM students WHERE (name = '" + s + "')" cmd.Execute()</code>
如果使用者輸入字串 Robert'); DROP TABLE students; --,則可能發生SQL注入攻擊。但是,使用參數化查詢:
<code>s = getStudentName() cmd.CommandText = "SELECT * FROM students WHERE name = ?" cmd.Parameters.Add(s) cmd.Execute()</code>
函式庫函數會對輸入進行清理,防止惡意程式碼執行。
或者,Microsoft SQL Server 使用命名參數,這提高了可讀性和清晰度:
<code>cmd.Text = "SELECT thingA FROM tableA WHERE thingB = @varname"
cmd.Parameters.AddWithValue("@varname", 7)
result = cmd.Execute()</code>以上是SQL中的參數化查詢如何防止SQL注入攻擊?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
