SQL参数化查询--最有效可预防SQL注入攻击的防御方式

已于 2024-01-08 10:06:59 修改
阅读量785 收藏
点赞数
文章标签: sql 数据库 asp.net eureka spring
于 2023-01-13 14:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Galaxy_0/article/details/128666867
版权
参数化查询是一种提高数据库访问安全性的方式,防止SQL注入攻击。在ASP、ASP.NET和PHP中,通过Connection和Command对象实现参数化查询,例如在ASP中使用问号作为匿名参数,而在ASP.NET和PHP中可以使用命名参数。这种方式确保数据库不会将参数内容误解析为SQL指令,增强了系统安全。
摘要由CSDN通过智能技术生成 
  参数化查询(Parameterized Query 或 Parameterized Statement)是访问数据库时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值。

在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成SQL指令的编译后,才套用参数运行,因此就算参数中含有指令,也不会被数据库运行。Access、SQL Server、MySQL、SQLite等常用数据库都支持参数化查询。

在ASP程序中使用参数化查询

ASP环境下的参数化查询主要由Connection对象Command对象完成。

Access数据库只支持匿名参数,在传入参数的位置用问号代替即可。SQL Server数据库虽然支持匿名和非匿名的参数,但是在ASP中也仅能使用匿名参数。

var conn = Server.CreateObject("ADODB.Connection");
conn.ConnectionString = "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" + Server.MapPath("Test.mdb");
conn.Open();
 
var cmd = Server.CreateObject("ADODB.Command");
cmd.ActiveConnection = conn;
cmd.CommandType = 1;
cmd.CommandText = "SELECT TOP 1 * FROM [User] WHERE UserName = ? AND Password = ?";
cmd.Parameters.Append(cmd.CreateParameter("@UserName", 200, 1, 20, "user01"));
cmd.Parameters.Append(cmd.CreateParameter("@Password", 200, 1, 16, "123456"));
 
var rs = cmd.Execute();
Response.Write(rs("UserId").value);
 
rs.Close();
conn.Close();

View Code

在ASP.NET程序中使用参数化查询

ASP.NET环境下的查询化查询也是通过Connection对象和Command对象完成。如果数据库是SQL Server,就可以用有名字的参数了,格式是 “@”字符加上参数名

SqlConnection conn = new SqlConnection("server=(local)\\SQL2005;user id=sa;pwd=12345;initial catalog=TestDb");
conn.Open();
 
SqlCommand cmd = new SqlCommand("SELECT TOP 1 * FROM [User] WHERE UserName = @UserName AND Password = @Password");
cmd.Connection = conn;
cmd.Parameters.AddWithValue("UserName", "user01");
cmd.Parameters.AddWithValue("Password", "123456");
 
SqlDataReader reader = cmd.ExecuteReader();
reader.Read();
int userId = reader.GetInt32(0);
 
reader.Close();
conn.Close();

View Code

在PHP程序中使用参数化查询

MySQL的参数格式与SQL Server有点区别,是以 “?”加上参数名

MySqlConnection conn = new MySqlConnection("server=127.0.0.1;uid=root;pwd=12345;database=test;");
conn.Open();
MySqlCommand cmd = new MySqlCommand(“SELECT * FROM `User` WHERE UserName = ?UserName AND Password = ?Password LIMIT 1″);
cmd.Connection = conn;
cmd.Parameters.AddWithValue(”UserName”, “user01″);
cmd.Parameters.AddWithValue(”Password”, “123456″);
MySqlDataReader reader = cmd.ExecuteReader();
reader.Read();
int userId = reader.GetInt32(0);
reader.Close();
conn.Close();

View Code

网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

需要的小伙伴也可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

网络安全苏柒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
参数化查询----防止SQL注入
做一枚优雅的IT女
08-15 1882
20:50 一、SQL注入的定义 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令 二、SQL注入的原理 SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数
SQL注入攻击防御 第2版》PDF版本下载.txt
07-17
通过实施有效防御措施,如参数化查询、输入验证以及采用安全编码实践等方法,可以大大降低受到SQL注入攻击的风险。同时,持续的安全培训和技术更新也是保持系统安全的重要因素。 #### 七、参考资料 - 《SQL注入...
使用参数化查询防止SQL注入漏洞
蓝色月光
11-01 562
SQL注入漏洞曾经是Web应用程序的噩梦,CMS、BBS、Blog无一不曾受其害。 SQL注入的原理 以往在Web应用程序访问数据库时一般是采取拼接字符串的形式,比如登录的时候就是根据用户名和密码去查询: string sql = "SELECT TOP 1 * FROM [User] WHERE UserName = ‘” + userName + “‘ AND Password = ‘”
防御sql注入参数化查询
m0_55306747的博客
11-26 4712
概念:在sql语句中需要输入值的地方以参数进行给值 特点:和以往用变量传递拼接出完整的sql语句后再直接执行该语句(拼接后的语句整体会一同参与数据库sql语句的编译过程)不同的是:值的给定会在数据库编译完sql语句后,也就是说,参数中的值并不参与sql语句的编译过程,自然其中的语句就无法被执行,也就避免了sql注入 现状:不过即使参数化查询被证明可以十分有效的抵御sql注入攻击的情况下,依然有很多网站因为开发不方便或者开发成本提高而不使用参数化查询 需要熟悉各数据库中的变量形式: 假设变量为a1
输入值/表单提交参数过滤有效防止sql注入的方法
10-26
然而,这些方法并不是防止SQL注入的最安全策略,因为它们依赖于预定义的关键词列表,可能会遗漏某些复杂或变种的SQL注入攻击。更推荐使用预编译的SQL语句(如PDO的预处理语句)或者参数化查询,这样可以确保用户输入...
防御SQL注入的方法总结
12-15
防止SQL注入攻击的关键在于确保用户输入的数据不会被误认为是SQL命令的一部分。以下是对防御SQL注入策略的详细阐述: 1. **SQL语句预编译与绑定变量**: 使用PreparedStatement是防止SQL注入有效的方法。预编译...
PHP与SQL注入攻击[三]
10-30
采用更先进的安全措施,如预定义查询参数化查询等,才能有效预防SQL注入攻击的发生。此外,结合数据验证、最小权限原则等多方面策略,可以构建起一套全面的安全防护体系,确保应用程序和数据的安全性。
有效防止SQL注入的5种方法总结
09-09
参数化查询预防SQL注入有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译的SQL语句。预编译的SQL语句在执行前已被解析和优化,因此在执行阶段,输入的数据不会被解析为SQL代码,而是作为...
SQL参数化(防止SQL注入
05-29
ASP.NET开发中,用SQL语句拼执行字符串,如果不参数换传递,有可能会被恶意破坏。
参数化查询为什么能够防止SQL注入
04-02 4810
参数化查询,防止sql注入漏洞攻击   在这次重构机房收费系统中,有效的解决了SQL注入的问题,这几天对于sql注入攻击进行了详细的研究,在这里做一下回顾。   首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , selec
防御SQL注入攻击方法之参数化查询
windofthesky的专栏
05-15 959
SQL注入攻击指的是通过构建特殊的输入作为参数传入应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。 在应用程序编写过程中,针对可以通过使用参数化查询+参数入例检查的方法有效防范SQL注入攻击。 以ADO.NET中的sqlcommand为例:             string
参数化查询,防止sql注入漏洞
weixin_30385925的博客
03-19 336
参数化查询,防止sql注入漏洞攻击   这几天对于sql注入攻击进行了详细的研究,在这里做一下回顾。  首先,什么是注入漏洞攻击呢?所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通常的解决方案有过滤敏感字符,比如说过滤掉or, and , select sql等关键字,但是,这种方法存在一定的缺陷,在这里不做讨论...
参数化查询语句防止SQL注入
李公子的博客
09-15 2190
1.什么是SQL注入,为什么要防止SQL注入 SQL注入是通过用户提交的数据,拼装成了恶意的数据库执行语句,从而对服务器端造成安全问题的一个漏洞。举个例子,比如在登录页面,正常的情况下,比如我账号输入 zhangsan 密码输入 147258,然后点击登录,服务器端执行的SQL语句可能是。 select ID,UserName,Account from Users where Account...
Sql参数化,防止Sql注入
最新发布
m0_57701510的博客
12-20 299
cmd.Parameters.Add():添加一个参数。增加多个参数时,需要使用一个Foreach循环;表示 SqlCommand 的参数,也可以是它到 DataSet 列的映射。cmd.Parameters.AddRange():添加一个参数的数组;程序集: System.Data(在 System.Data.dll 中)命名空间: System.Data.SqlClient。Sql参数化添加多条数据,废话不多说,上码。SqlParameter 类。Sql Server数据库
参数化SQL小认识
ithome
07-27 171
在做机房收费系统项目,编写数据连接并访问数据库时,见别人都用了带“@”字符的SQL语句,就很好奇为什么都用这个语句呢?直接拼写SQL语句不是更加方便吗?带着这个问题上网查资料,才知道原来他们用的是参数化SQL,那么为什么要用参数化SQL?什么是参数化SQL呢? 在做第一次机房收费系统的时候,大部分的应该都是使用直接拼SQL语句的方法,那时候就听前辈们有说到SQL注入,那时候也不要求了解...
参数化SQL注入
12-13 123
现在防止SQL注入最常用的方法基本上就是参数化条件了。 原理是因为用这种方式处理时,数据库服务器会先编译传入的SQL语句,而不把参数代入。编译完成后再把参数替换。所以你的注入是无法被执行的。 比如用PHP实现。 1.mysql_query类型函数实现 $query = sprintf('select * from book where id = "%s"', '33'...
SQL参数化查询
weixin_30514745的博客
03-13 630
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式数据库参数化规律:在参数化SQL中参数名的格式跟其在存储过程中生命存储过程参数一致...
SQL注入攻击防御(第2版) - 安全技术解析
"SQL注入攻击防御(第2版)是...《SQL注入攻击防御(第2版)》是IT专业人员、开发人员、网络安全专家以及对网络安全感兴趣的读者不可或缺的参考资料,它提供了全面的SQL注入知识,帮助读者理解风险,提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值