首頁 > 資料庫 > mysql教程 > 預編譯為什麼可以防止sql注入

預編譯為什麼可以防止sql注入

清浅
發布: 2019-05-11 14:55:57
原創
6027 人瀏覽過

預先編譯可以防止sql注入的原因:進行預編譯之後,sql語句已經被資料庫分析,編譯和最佳化了,並且允許資料庫以參數化的形式進行查詢,所以即使有敏感字元資料庫也會當做屬性值來處理而不是sql指令了

預編譯為什麼可以防止sql注入

大家都知道,java中JDBC中,有個預處理功能,這個功能一大優點就是能提高執行速度尤其是多次操作資料庫的情況,再一個優勢就是預防SQL注入,嚴格的說,應該是預防絕大多數的SQL注入。

用法就是如下邊所示:

String sql="update cz_zj_directpayment dp"+
 "set dp.projectid = ? where dp.payid= ?";
try {
PreparedStatement pset_f = conn.prepareStatement(sql);
pset_f.setString(1,inds[j]);
pset_f.setString(2,id);
pset_f.executeUpdate(sql_update);
}catch(Exception e){
//e.printStackTrace();
logger.error(e.message());
}
登入後複製

那為什麼它這樣處理就能預防SQL注入提高安全性呢?其實是因為SQL語句在程式運行前已經進行了預編譯,在程式運行時第一次操作資料庫之前,SQL語句已經被資料庫分析,編譯和最佳化,對應的執行計劃也會快取下來並允許資料庫以參數化的形式進行查詢,當運行時動態地把參數傳給PreprareStatement時,即使參數裡有敏感字符如or '1=1'也數據庫會作為一個參數一個字段的屬性值來處理而不會作為一個SQL指令,如此,就起到了SQL注入的作用了!

以上是預編譯為什麼可以防止sql注入的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
作者最新文章
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板