关于使用占位符来解决SQL注入

最新推荐文章于 2022-10-16 01:06:46 发布
最新推荐文章于 2022-10-16 01:06:46 发布
阅读量1w 收藏 5
点赞数 5
分类专栏: DateBase
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Inconsolabl/article/details/48091903
版权

总结:

SQL已经预编译好了,然后替换中间的占位符,这个占位符在编译后就已经确定了它只是一个参数属性。因此,用注入的代码去替换占位符,这个SQL也不会再进行编译了,所以也达不到注入的目的。


SQL注入并不是一个在SQL内不可解决的问题,这种攻击方式的存在也不能完全归咎于SQL这种语言,因为注入的问题而放弃SQL这种方式也是因噎废食。首先先说一个我在其他回答中也曾提到过的观点:没有(运行时)编译,就没有注入


SQL注入产生的原因,和栈溢出、XSS等很多其他的攻击方法类似,就是 未经检查或者未经充分检查 用户输入数据 意外变成了代码被执行 。针对于SQL注入,则是用户提交的数据,被数据库系统编译而产生了开发者预期之外的动作。也就是,SQL注入是用户输入的 数据 ,在拼接SQL语句的过程中,超越了数据本身,成为了SQL语句查询逻辑的一部分,然后这样被拼接出来的SQL语句被数据库执行,产生了开发者预期之外的动作。

所以从根本上防止上述类型攻击的手段,还是避免数据变成代码被执行,时刻分清代码和数据的界限。而具体到SQL注入来说,被执行的恶意代码是通过数据库的SQL解释引擎编译得到的,所以只要避免用户输入的数据被数据库系统编译就可以了。

现在的数据库系统都提供SQL语句的预编译(prepare)和查询参数绑定功能,在SQL语句中放置占位符'?',然后将带有占位符的SQL语句传给数据库编译,执行的时候才将用户输入的数据作为执行的参数传给用户。这样的操作不仅使得SQL语句在书写的时候不再需要拼接,看起来也更直接,而且用户输入的数据也没有机会被送到数据库的SQL解释器被编译执行,也不会越权变成代码。

至于为什么这种参数化的查询方式没有作为默认的使用方式,我想除了兼容老系统以外,直接使用SQL确实方便并且也有确定的使用场合。

多说一点,从代码的角度来看,拼接SQL语句的做法也是不恰当的。 
DELETE FROM planet WHERE name = 'mercury';
DELETE FROM planet WHERE name = 'venus';
DELETE FROM planet WHERE name = 'earth';
DELETE FROM planet WHERE name = 'mars';
我修改一下那个很经典的笑话:程序员不应该执行 删除地球 这样的SQL语句,而是写 删除一个行星 ,然后将地球当作参数传入。 
$stmt = $mysqli->prepare("DELETE FROM planet WHERE name = ?");
$stmt->bind_param('s', "earth");
$stmt->execute();


更多阅读:
MySQL :: MySQL 5.1 Reference Manual :: 13.5 SQL Syntax for Prepared Statements
Prepared statement
Inconsolabl
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
关于防止sql注入的几个知识点
12-14
1.PDO预处理是。   你可以把他看成是要运行的sql的已经编译过的模板,它可以用变量参数进行定制   它有两个显著优点:   1.1:查询仅需解析一次,但可以用相同或者不同参数执行多次。换句话说如果要以不同的参数执行同样的语句执行多次,利用PDO可以大大降低应用程序的速度。   1.2:提供给预处理的语句不需要携带引号,所以可以有效防止sql的注入。但是如果查询的其他部分是由未转义的输入来构建的,则仍存在sql注入的风险。   1.3:另外pdo预处理无效的地方:   1.3.1:limit语句   1.3.2:like%?%.不能这么使用占位符必须代表整个字符。所以可以这
使用Python防止SQL注入攻击的实现示例
09-16
主要介绍了使用Python防止SQL注入攻击的实现示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
JDBC中常用的SQL总结02之SELECT语句用法详解
梦蓝樱飞(一点一滴, 记录个人成长之路)
05-14 2085
README友情提示: 点开上面的加号, 即可查看本文的行文思路结构. 本篇文章主要总结SELECT语句的具体用法, 包含条件查询, 顺序查询, 分组查询, 结合聚集函数的查询, 多表查询.单表查询与查询数据(select)相关的查询语句:SHOW TABLES [FROM database_name]; -- 查看数据库中的所有表 SELECT * FROM table_name; -- 查看一
JDBC遇到的问题
weixin_43911672的博客
08-06 938
JDBC遇到的问题
MySQL中in加占位符只查出第一条数据
kswkly的博客
04-08 1717
正常情况下,下面这段sql执行起来毫无问题 select * from student where id in ('id1','id2') 但是当在程序中拼接出这条sql时却出现了问题 String sql = "select * from student where id in (?)" String ids = "id1,id2" 发现它只把id=“id1”的数据查了出来,后面的数据没有查...
Oracle中sql中in怎么用占位符,SQL的扩展占位符,例如WHERE id IN(??)
weixin_39854440的博客
04-15 2145
mario10phpsql赏金更新:马克已经得到了很好的答案.改编:=进入:,下面.但是,除了DBIx之外,我还在寻找类似的方案.我只对与任何东西兼容感兴趣.我需要建议我在参数化SQL语句中为"扩展"占位符选择的语法.因为构建一些构造(IN子句)让我烦恼,我决定使用一些自动扩展为普通的语法快捷方式?占位符.我喜欢他们.但我想打包它以便分发,并且问我自己是否容易理解.基本上我的新占位符是??和:?(...
二、SQL注入使用占位符解决、JDBC工具类、封装
H215919719的博客
09-19 1304
③ 隔离性 行锁 事务的隔离性是指在并发环境中,并发的事务是互相隔离的,一个事务的执行不能被其它事务干扰。② 一致性(Consistency) 事务的一致性是指事务的执行不能破坏数据库数据的完整性和一致性,一个事务在执行之前和执行之后,数据库都必须处以一致性状态。任何一项操作都会导致整个事务的失败,同时其它已经被执行的操作都将被撤销并回滚,只有所有的操作全部成功,整个事务才算是成功完成。一个事务内部的操作及使用的数据对其它并发事务是隔离的,并发执行的各个事务是不能互相干扰的。
sql 语句in 使用占位符
大飞的博客
06-13 6897
mysql 语句中使用占位符操作时,当使用in查询是错误 select * from table where id in ? : 这种形式报错 select * from table where id in (?) 这种形式只能查询第一条 改用 select * from table where FIND_IN_SET(id,?) 完美解决...
SQL注入问题与解决方案
weixin_48943299的博客
10-16 1143
sql注入
sql注入原理及防范方式
拾忆的博客
08-16 2509
前言         sql注入是一种危险系数较高的攻击方式,现在由于我们持久层框架越来越多,大部分框架会处理这个问题,因此导致我们对它的关注度越来越少了。最近部门在整理安全漏洞时,提到了一些关于sql注入的修改点,因此共同记录学习一下。 正文 原理         sql注入的原理是将sql代码伪装到输入参数中,传递...
jinjasql:具有自动绑定参数提取SQL模板语言
01-30
使用Jinja模板生成SQL查询,而无需担心SQL注入 JinjaSQL是SQL语句和脚本的模板语言。 由于它基于 ,您将拥有它提供的所有功能-条件语句,宏,循环结构,块,继承等等。 JinjaSQL自动绑定插入模板的参数。 JinjaSQL...
SQL Server 中 EXEC 与 SP_EXECUTESQL 的区别.doc
08-30
3、EXEC 执行纯动态SQL,执行时可能无法使用预编译的执行计划,关键是不安全,可以导致 SQL 注入 ,而 SP_EXECUTESQL 执行参数化动态 SQL ,执行时能使用预编译的执行计划,而且保存存储过程时就可以确定可以使用的预...
momo-code-sec-inspector-java:IDEA静态代码安全审核及漏洞一键修复插件
03-17
MOMO CODE SEC检查员 本插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的...占位符拼接型SQL注入扩展 Ť 1003 Mybatis注解SQL注入防御 Ť Ť 1004 Mybatis XML SQL注入防御 Ť Ť 1005
实验-三、数据库安全性(目的、要求和模板).doc
04-24
实验-三、数据库安全性(目的、要求和模板).doc
基于Docker搭建K8s集群离线包
04-24
基于Docker搭建K8s集群离线包,包含部署时所需的全部文件,可在内网环境中使用,K8s为1.23.0版本,docker为20.10.9-3版本
基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip
04-24
基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! 基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行! 基于springboot+vue实现的求职招聘类型网站源代码+数据库(优质毕设项目).zip个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码、该项目可以直接作为毕设使用。项目都经过严格调试,确保可以运行!基于springboot+vue实现的求
基于Android系统Api封装常用工具类.zip
04-24
基于Android系统Api封装常用工具类.zip
基于PCA和SVM的人脸识别
最新发布
04-24
svm 基于PCA(主成分分析)和SVM(支持向量机)的人脸识别是一种常见的方法。这里是一个简要说明: PCA(主成分分析): PCA是一种降维技术,它通过线性变换将高维数据转换为低维数据,同时保留最大的数据方差。 在人脸识别中,PCA被用来提取人脸图像中的主要特征,从而减少数据的维度,并保留最重要的信息。 SVM(支持向量机): SVM是一种监督学习算法,用于分类和回归分析。 在人脸识别中,SVM被用来构建一个分类器,以将提取的人脸特征映射到相应的人脸身份标签。 基于PCA和SVM的人脸识别流程: 训练阶段: 收集训练数据集,包括多个人的人脸图像和相应的标签。 对每个人脸图像应用PCA,将其转换为低维特征向量。 使用这些特征向量训练一个SVM分类器,使其能够将人脸特征向量与相应的人脸标签关联起来。 测试阶段: 对待识别的人脸图像应用相同的PCA转换,将其转换为与训练数据相同的低维特征向量。 使用训练好的SVM分类器,将待识别的人脸特征向量与已知的人脸标签进行比较,从而确定其身份。 优点: PCA可以有效地降低数据的维度,减少计算复杂度,并提取最相关的特征。 SVM在处理
天津科技大学-答辩通用PPT模板我给母校送模板作品.pptx
04-24
PPT模板,答辩PPT模板,毕业答辩,学术汇报,母校模板,我给母校送模板作品,周会汇报,开题答辩,教育主题模板下载。PPT素材下载。
sql 占位符 sql注入
06-08
好的,您的问题是关于 SQL 占位符和 SQL 注入的。SQL 占位符是一种在 SQL 查询中使用的技术,它通过将值动态地插入到 SQL 语句中来避免 SQL 注入攻击。SQL 注入是一种通过在输入中注入恶意代码来攻击数据库的技术。攻击者可以通过 SQL 注入来获取敏感数据、更改数据或者执行其他恶意操作。因此,使用 SQL 占位符是一种有效的防范 SQL 注入攻击的方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值