準備好的語句:針對 SQL 注入的穩健防禦(第 2 部分)
準備好的語句提供了一種預防 SQL 注入的主動方法。 他們透過將使用者提供的資料與 SQL 查詢結構分開來實現這一點。 準備好的語句不是將使用者輸入直接嵌入到查詢字串中,而是使用參數(通常表示為問號 (?))作為佔位符。
資料庫引擎在新增使用者資料之前解析並編譯準備好的語句。 此關鍵步驟可確保使用者輸入僅被視為數據,從而防止將其解釋為可執行 SQL 程式碼。這與直接將使用者輸入連接到 SQL 字串的易受攻擊的方法形成鮮明對比。
說明性範例:考慮將使用者資料插入資料庫。
易受攻擊的字串連線:
<code class="language-java">PreparedStatement stmt = conn.createStatement("INSERT INTO students VALUES('" + user + "')");
stmt.execute();</code>安全準備好的聲明:
<code class="language-java">PreparedStatement stmt = conn.prepareStatement("INSERT INTO student VALUES(?)");
stmt.setString(1, user);
stmt.execute();</code>如果惡意使用者輸入:Robert'); DROP TABLE students; --
字串連接方法的結果是:
<code class="language-sql">INSERT INTO students VALUES('Robert'); DROP TABLE students; --')</code>這將執行惡意DROP TABLE命令。
但是,使用準備好的語句,資料庫執行:
<code class="language-sql">INSERT INTO student VALUES('Robert');</code>惡意輸入被視為文字數據,從而消除了 SQL 注入威脅。 準備好的語句有效地將查詢邏輯與潛在有害的使用者輸入隔離,從而確保 SQL 命令的完整性。
以上是準備好的語句如何防止 SQL 注入?的詳細內容。更多資訊請關注PHP中文網其他相關文章!
