一文分析SQL參數化查詢為何能防止SQL注入

藏色散人
發布: 2023-03-17 16:09:44
轉載
2081 人瀏覽過

這篇文章為大家帶來了關於mysql的相關知識,其中主要跟大家聊一聊SQL參數化查詢為什麼能夠防止SQL注入,有興趣的朋友下面一起來看一下吧,希望對大家有幫助。

一文分析SQL參數化查詢為何能防止SQL注入

SQL參數化查詢為什麼能夠防止SQL注入?

1、SQL 注入是什麼

將SQL 指令插入到表單提交或輸入網域或頁面請求的查詢字串中,欺騙伺服器執行惡意的SQL 指令。

 -- 正常的查询语句
 select * from users where username = 'a';

 -- 恶意的查询语句
 select * from users where username = 'a' or 1==1;
登入後複製

2、參數化查詢是什麼

參數化查詢是指查詢資料庫時,在需要填入資料的地方,使用參數給值。

set @id = 1;
SELECT * from users WHERE id = @id ;
登入後複製

3、SQL 語句的執行處理

SQL 語句以處理流程看有兩類:即時 SQL、預處理 SQL。

  • 即時SQL

即時SQL 從DB 接收到最終執行完畢返回,大致的過程如下:

  a. 词法和语义解析
  b. 优化sql语句,制定执行计划
  c. 执行并返回结果
登入後複製

特點:一次編譯,單次運行。

  • 預處理 SQL

程式中某條 sql 可能會被重複調用,或是每次執行的時候只有個別的值不同。如果每次以即時 SQL 的流程來看,效率是比較低的。

這時候可以將SQL 中的值用佔位符代替,先生成SQL 模板,然後再綁定參數,之後重複執行該語句的時候只需要替換參數,而不用再去進行詞法和語義分析。可以視為 SQL 語句模板化或參數化。

特點:一次編譯,多次運行,省去了多次解析等過程。 (多次執行是指在同一會話中再次執行相同的語句,也不會被再次解析和編譯)

  -- 语法
  # 定义预处理语句
  PREPARE stmt_name FROM preparable_stmt;
  # 执行预处理语句
  EXECUTE stmt_name [USING @var_name [, @var_name] ...];
  # 删除(释放)定义
  {DROP | DEALLOCATE} PREPARE stmt_name;
登入後複製

4、預處理SQL 是如何防止SQL 注入的

待執行的SQL 被編譯後存放在快取池中,DB 執行execute 的時候,並不會再去編譯一次,而是找到SQL 模板,將參數傳遞給它然後執行。所以類似 or 1==1 的指令會當成參數傳遞,而不會進行語意解析執行。

 -- 预处理编译 SQL ,会占用资源
 PREPARE stmt1 from 'SELECT COUNT(*) FROM users WHERE PASSWORD = ? AND user_name = ?';

 set [@a](https://learnku.com/users/16347) = 'name1 OR 1 = 1';
 set @b = 'pwd1';

 EXECUTE stmt1 USING @b,[@a](https://learnku.com/users/16347);

 -- 使用 DEALLOCATE PREPARE 释放资源
 DEALLOCATE PREPARE stmt1;
登入後複製

推薦學習:《MySQL影片教學

以上是一文分析SQL參數化查詢為何能防止SQL注入的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:learnku.com
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板