准备好的语句如何防止 SQL 注入？

准备好的语句：针对 SQL 注入的稳健防御（第 2 部分）

准备好的语句提供了一种预防 SQL 注入的主动方法。 他们通过将用户提供的数据与 SQL 查询结构分离来实现这一点。 准备好的语句不是将用户输入直接嵌入到查询字符串中，而是使用参数（通常表示为问号 (?)）作为占位符。

数据库引擎在添加用户数据之前解析并编译准备好的语句。 这一关键步骤可确保用户输入仅被视为数据，从而防止将其解释为可执行 SQL 代码。这与直接将用户输入连接到 SQL 字符串的易受攻击的方法形成鲜明对比。

说明性示例：考虑将用户数据插入数据库。

易受攻击的字符串连接：

PreparedStatement stmt = conn.createStatement("INSERT INTO students VALUES('" + user + "')");
stmt.execute();

安全准备好的声明：

PreparedStatement stmt = conn.prepareStatement("INSERT INTO student VALUES(?)");
stmt.setString(1, user);
stmt.execute();

如果恶意用户输入：Robert'); DROP TABLE students; --

字符串连接方法的结果是：

INSERT INTO students VALUES('Robert'); DROP TABLE students; --')

这将执行恶意DROP TABLE命令。

但是，使用准备好的语句，数据库执行：

INSERT INTO student VALUES('Robert');

恶意输入被视为文字数据，从而消除了 SQL 注入威胁。 准备好的语句有效地将查询逻辑与潜在有害的用户输入隔离，从而保证 SQL 命令的完整性。

以上是准备好的语句如何防止 SQL 注入？的详细内容。更多信息请关注PHP中文网其他相关文章！