【网络安全 | SQL注入】一文讲清预编译防御SQL注入原理

已于 2024-05-30 20:32:52 修改
阅读量4.8k 收藏 44
点赞数 42
分类专栏: 网络安全 文章标签: sql web安全 预编译
于 2023-12-26 11:26:20 首次发布
该原创文章未经本人许可,不得用于商业用途。未经授权不得转载,否则保留追究法律责任的权利。
本文链接:https://blog.csdn.net/2301_77485708/article/details/135217582
版权

文章目录

在防止SQL注入的方法中,预编译是十分有效的,它在很大程度上解决了SQL注入问题。
原创文章,不得转载。

SQL注入简析

数据库查询语句未对SQL注入做任何防护时,语句基本如下:

$name=$_POST['name'];  
$pass=$_POST['pass']; 
$sql="SELECT * FROM user WHERE name='$name' AND pass='$pass'";

当我们提交name=-1' union select 1,user()# pass=12时,后端查询语句变为:

$sql="SELECT * FROM user WHERE name='-1' union select 1,user()#' AND pass='12'";

等价于

$sql="SELECT * FROM user WHERE name='-1' union select 1,user()

由于数据库中没有id='-1’的数据项,此半句运行结果为FALSE,页面不会显示任何内容;后半句union select 1, 2, user(),表示联合查询当前的用户名,此半句运行结果为True,此时页面显示当前登录数据库的用户名(此为敏感信息)

也就是说,这导致了SQL的语法结构被更改,从而实现了命令执行:
在这里插入图片描述

而预编译能防止SQL语法结构被更改,它是怎么实现的呢?

在此之前,我们需要了解什么是预编译。

预编译

预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。

举个例子,很多情况下,一条SQL语句可能会反复执行,或者每次执行的时候只有个别的参数值不同,如:

SELECT username, password FROM users WHERE id=121;
SELECT username, password FROM users WHERE id=1532;
SELECT username, password FROM users WHERE id=1123;
SELECT username, password FROM users WHERE id=121;
SELECT username, password FROM users WHERE id=121;
...

这些语句的语法树相同,但每次都要进行重复的编译,导致数据库运行效率低下。

预编译语句将以上语句中的值用占位符?替代,即将SQL语句模板化或者参数化,SQL语句先交由数据库预处理,构建语法树,再传入真正的字段值多次执行,省却了重复解析和优化相同语法树的时间,提升了SQL执行的效率。

简要来说就是:一次编译多次运行

预编译如何防止SQL注入

那么这和预防SQL注入有何联系?

在预编译的机制下,用户在向原有SQL语句传入值之前,原有SQL语句的语法树就已经构建完成,因此无论用户输入什么样的内容,都无法再更改语法树的结构。至此,任何输入的内容都只会被当做值来看待,不会再出现非预期的查询,这便是预编译能够防御SQL注入的根本原因。

预编译代码如下:

$name = $_POST['name'];
$pass = $_POST['pass'];

$stmt = $conn->prepare("SELECT * FROM user WHERE name=? AND pass=?");// 准备 SQL 查询语句,用于验证用户名和密码
$stmt->bind_param("ss", $name, $pass);// 绑定参数,防止 SQL 注入攻击

$stmt->execute();// 执行查询
$result = $stmt->get_result();// 获取查询结果集

if ($result->num_rows > 0) {
    // 用户验证成功

当我们提交name=1' union select 1,user()# pass=12时,由于预编译的存在,后端查询语句变为:

SELECT * FROM user WHERE name='1' union select 1,user()#' AND pass='12'

由于输入的内容都只会被当做值来看待,所以并不会导致恶意查询。

读者可以将sqli-labs的第一关(Less-1)的index.php修改为:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

<title>Less-1 **Error Based- String**</title>

</head>

<body bgcolor="#000000">

<div style=" margin-top:70px;color:#FFF; font-size:23px; text-align:center">Welcome <font color="#FF0000"> Dhakkan </font><br>

<font size="3" color="#FFFF00">

<?php

//including the Mysql connect parameters.

$sql_server = "localhost";

$sql_username = "root";

$sql_password = "root";

$sql_database = "security";

$mysqli = new mysqli($sql_server, $sql_username, $sql_password, $sql_database);

error_reporting(0);

// take the variables

if(isset($_GET['id']))

{

$id=$_GET['id'];

//logging the connection parameters to a file for analysis.

$fp=fopen('result.txt','a');

fwrite($fp,'ID:'.$id."\n");

fclose($fp);

$sql="SELECT * FROM security.users WHERE id= ? LIMIT 0,1";

$mysqli_stmt = $mysqli->prepare($sql); //创建预处理对象

$mysqli_stmt->bind_param('i',$id); //绑定参数

$mysqli_stmt->bind_result($id,$username,$password); //绑定结果集

$mysqli_stmt->execute(); //执行

while($mysqli_stmt->fetch())

{

echo "<font size='5' color= '#99FF00'>";

echo 'Your Login name:' . $username;

echo "<br>";

echo 'Your Password:' . $password;

echo "</font>";

}

}

else { echo "Please input the ID as parameter with numeric value";}

?>

</font> </div></br></br></br><center>

<img src="../images/Less-1.jpg" /></center>

</body>

</html>

尝试注入,可以发现并不能成功。

然而,预编译语句并不适用于所有参数。在某些特定的场景下,如动态表名、动态列名或排序方式等,无法使用占位符进行替代,因为它们不属于参数值。一种常见的做法是执行输入验证和过滤,确保用户提供的数据符合预期的格式和规范。例如,可以使用白名单机制来限制可接受的表名和列名,或者通过预定义的选项来控制排序方式。

秋说
关注
  • 42
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 25
    评论
专栏目录
预编译sql注入
weixin_54855337的博客
12-05 2842
预编译sql注入
JavaWeb篇之二------sql注入原理和解决方法(预编译
qq_42077566的博客
10-17 478
引言 在上一篇最末,我展示了sql注入现象,接下来我们来探究sql注入的本质原理 Sql注入及解决方法 我们打个断点,debug调试一下(不清楚代码的可以看上一篇) 我们可以看到“泊进之介”和“or ‘1’=‘1’”被拼接在一起作为s2对象 而最后的sql查询语句就变成了 “select * from KamenRider where ridername=‘Driver’ and use...
使用prepareStatement执行查询操作可以使用预编译,动态的添加参数也可以执行普通的SQL语句。
最新发布
ikeseo的博客
05-29 138
使用prepareStatement执行查询操作可以使用预编译,动态的添加参数也可以执行普通的SQL语句。
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
热门推荐
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
SQL预编译原理
AoaNgzh的博客
05-04 811
通过SQL预编译,可以减少SQL语句的解析和编译时间,提高数据库的执行效率。此外,SQL预编译还可以防止SQL注入攻击,因为预编译的过程会对SQL语句和参数进行严格的类型检查和转换,使得攻击者无法通过注入恶意代码来破坏SQL语句的结构和语义。SQL预编译是一种常见的数据库优化技术,其基本原理是将SQL语句和参数分开处理,先将SQL语句编译成一种中间形式,再将参数值与编译后的SQL语句进行动态绑定,最终生成可以直接执行的SQL语句。客户端向数据库发送预编译请求,其中包含SQL语句和参数列表。
sql 预编译 & 防止sql注入
梦~'
10-10 3932
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL预编译 2.数据库预编译为何能防止SQL注入 一、sql预编译: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相...
预编译SQL语句是干什么的?底层原理是什么?
长风破浪会有时的博客
05-14 482
当执行SQL语句时,只需要将绑定的参数传递给数据库即可,数据库会使用预编译好的格式执行SQL语句,并返回结果。当使用预处理语句时,首先需要准备一个SQL语句模板,然后将SQL语句模板发送给数据库,数据库会对SQL语句模板进行预编译,最后通过绑定变量的方式来填充SQL语句的参数。这个过程可以减少SQL注入攻击的风险,并且可以大大提高执行SQL语句的效率。预编译SQL语句是指在执行SQL语句之前将SQL语句转换成一个可执行的格式,这个格式是可以被数据库直接执行的,并且这个格式是已经经过优化的。
sql预编译真正原理
qq_42521154的博客
12-06 2631
众所周知,数据库会对sql进行语法分析,词法分析,语义分析,如果一条sql 采用拼接方式 例如: select * from test where id= ’ + x + ’ x= 1’;delete from 'test 这样进入数据库就变成了 select * from test where id= ’ 1 '; delete from 'test’ 会被数据库解析成两条sql 但是预编译会让数据库跳过编译阶段,也就无法就进行词法分析,关键字不会被拆开,所有参数 直接 变成字符串 进入 数据库执行器执行
浅析预编译防止SQL注入原理
qq_44286009的博客
08-18 617
要理解防止SQL注入原理,那么首先需要知道什么是SQL注入。百度百科对SQL注入的解释如下:对于理论,这里不作过多赘述,通过一个例子来说明什么是SQL注入。假如我们有一个登录页面,登录页面大致如下图所示。这个时候,用户正常登陆就是输入用户名和密码进行登录。我们大致写一个后台的登录逻辑(这里大家不必过于较真,实际项目的登录逻辑肯定与下面代码是有出入的,这里主要是为了对SQL注入进行一个简单的演示// 数据库连接信息try {// 加载驱动// 建立数据库连接。
网络安全技术13SQL注入.pptx
11-12
网络安全技术之SQL注入 SQL注入是一种常见的网络攻击手段,它通过在Web应用程序中插入恶意的SQL代码来攻击数据库,从而获取敏感信息或控制数据库。本文将对SQL注入进行详细的介绍,包括其概念、类型、攻击方法、...
SQL.rar_sql注入_网络安全_网络安全 试题
09-20
SQL注入是一种常见的网络安全威胁,它发生在应用程序不恰当地处理用户输入的数据时,导致攻击者能够构造恶意的SQL命令,从而获取、修改、删除或者控制数据库中的敏感信息。在这个"SQL.rar"压缩包中,我们有两个文件...
SQL.预编译.docx
12-11
SQL预编译 ibatis中如何解决sql注入问题,资料参考
网络安全初探SQL注入漏洞
07-02
网络安全领域,SQL注入漏洞是一种常见的安全威胁,尤其在基于Web的应用程序中。本文将深入探讨SQL注入漏洞的原理、危害、以及如何防范这一问题。 SQL(Structured Query Language)是用于管理和处理关系数据库的...
网络安全SQL注入讲解.pptx
03-29
某知名安全专家sql注入攻防实战PPT. 你将收获sql注入攻防技术,以及可参考的专家级精美ppt模板.
安全测试-常见sql注入方法,命令
03-31
安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入方法,命令安全测试-常见sql注入...
【開山安全笔记】预编译是如何阻止sql注入
開山安全,無限进步
10-22 851
语法树的建立?模糊查询又如何实现预编译
[MySQL]——SQL预编译、动态sql
Panci_的博客
10-31 7599
一条sql语句的执行过程为语法检查与解析->sql优化->编译->执行。原始的sql存在弊端,每条语句编译生成不同的SQL语句,浪费性能和空间。 两种参数占位符的区别 动态SQL的使用
sql预编译
weixin_52237037的博客
10-18 2717
sql预编译就是说:对于一个sql语句的执行,首先要进行,而上面这些sql语句,结构相同,只是参数不同,需要,这样就导致执行效率低。我们可以使用以下语句预编译后的sql语句,执行代码会缓存下来,这样在下次调用的时候,直接给占位符传参,执行即可。所以我们对于相同的预编译语句,我们只需要。可以视为将sql语句。一次编译、多次运行,省去了解析优化等过程。
MySQL预编译功能
weixin_30627381的博客
10-07 184
1、预编译的好处   大家平时都使用过JDBC中的PreparedStatement接口,它有预编译功能。什么是预编译功能呢?它有什么好处呢?   当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句。其中校验语法,和编译所花的时间可能比执行SQL语句花的时间还要多。   如果我们需要执行多次in...
预编译防止sql注入原理
09-09
预编译方式能够防范SQL注入原理是在执行SQL语句之前,首先对SQL语句进行预编译。这意味着SQL参数注入之后,预编译SQL语句不会再进行编译。因此,后续注入的参数将不会被系统认为是一条SQL语句,而是默认为参数。这就是为什么预编译能够防止SQL注入的原因。通过使用PreparedStatement,可以将动态变量绑定到SQL语句中,而不是直接将变量插入到SQL字符串中。这种方式避免了将用户输入直接拼接到SQL语句中,减少了SQL注入的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 25
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

秋说

感谢打赏,祝你平安喜乐。

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值