防御SQL注入方法(1)-使用预编译语句

最新推荐文章于 2023-10-22 01:05:05 发布
最新推荐文章于 2023-10-22 01:05:05 发布
阅读量2.7k 收藏 2
点赞数 2
文章标签: sql注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjx529377/article/details/77413577
版权 
$query = "INSERT INTO myCity (Name, CountryCode, Distrit) VALUES (?,?,?)";
$stmt = $mysqli->prepare($query);
$stmt->bind_param("sss", $val1, $val2, $val3);
$val1 = 'Stuttgart';
$val2 = 'DEU';
$val3 = 'Baden-Wuerttemberg';
$stnt->execute();

这是PHP使用预编译语句的一个例子,在这个例子中,先预编译SQL语句,将变量用?表示。当用户输入参数时,通过bindParam()函数绑定,将输入当做整体传给预编译SQL语句来执行,不会出现执行拼接字符的情况,避免了SQL注入攻击。

prepareStatement= connection.prepareStatement("INSERT INTO tb1_students (name,age,sex,address) VALUES (?,?,?,?)"); 
prepareStatement.setString(1,var1); 
prepareStatement.setString(2,var2); 
prepareStatement.setString(3,var3); 
prepareStatement.setString(4,var4); 
prepareStatement.executeUpdate();

这是Java中的预编译语句,原理跟PHP中的一样。
使用预编译语句的优点不仅仅是防御SQL注入攻击,其优点还有:
(1)提高执行效率
预编译对象就是把一些格式固定的SQL编译后,存放在缓冲区中,当我们再次执行相同的SQL语句时就不需要预编译的过程了。
(2)提高代码可读性和可维护性
使用?代替参数,将输入参数与SQL语句分开,方便扩展。

littlecjx
关注
【网络安全 | SQL注入】一文讲清预编译防御SQL注入原理
等风来
12-26 5264
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。 举个例子,很多情况下,一条SQL语句可能会反复执行,或者每次执行的时候只有个别的参数值不同,如:
用PreparedStatement 预编译的 SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 715
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
SQL注入——SQL注入具体防御方案
cldimd的博客
03-19 1787
1.GPC/RUNTIME魔术引号 magic_quotes_gpc负责对GET,POST,COOKIE的值进行过滤。 magic_quotes_runtime对从数据库或者文件中获取的数据进行过滤。 通常在开启这两个选项之后能防住部分SQL注入漏洞被利用,因为我们之前也介绍了,在某些环境下存在绕过,在INT型注入上是没有多大作用的。 通常数据污染有两种...
SQL语句预编译(查询)
qq_41676638的博客
07-09 5474
SQL语句预编译 SQL语句预编译能预防SQL注入提高安全性,是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为...
sql注入预编译
qq_61109509的博客
02-25 1871
sql预处理就是提前告诉sql语法处理器,提前声明且编译特定格式的sql语句,将所有用户的输入视为纯字符串参数,最后组成查询语句 php使用预处理的步骤 1,连接到数据库 2,设置预处理语句的结构 3,用户输入 4,执行sql语句 $stmt=$conn->prepare('SELECT 1 FROM user WHERE username=? AND password=?'); //设置预处理的语句结构,?表示要填入的用户输入 $input_username="root"; $.
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 2908
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
【開山安全笔记】预编译是如何阻止sql注入
最新发布
開山安全,無限进步
10-22 1201
语法树的建立?模糊查询又如何实现预编译
防御SQL注入方法总结
09-10
总之,防御SQL注入需要多层面的策略,包括但不限于预编译SQL、数据类型验证、输入过滤、使用安全框架和编码实践,以及定期的安全审核。通过这些方法,可以显著降低SQL注入攻击的风险,保护数据库和应用程序的安全。
使用预编译语句防御SQL注入攻击
SQL注入攻击是指黑客利用Web应用程序对用户输入数据的合法性验证不严谨,向后台数据库输入恶意的SQL查询语句,以获取非法数据或实现非授权操作的攻击行为。下面我们将详细解析SQL注入攻击的工作原理。 #### 2.1 SQL...
SQL预编译SQL注入
weixin_33728708的博客
05-27 2709
再说SQL预编译: 最近用go语言时,学习了一下数据库连接的库,这里总结一下SQL预编译相关的知识。貌似网上都是建议使用预编译,我也觉得这种做法靠谱。 先谈SQL注入SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过让原SQL改变了语义,达到欺骗服务器执行恶意的SQL命令。其主要原因是...
sql预编译
Mark
07-20 4170
1、什么是预编译 1.1、 sql的执行过程 ① 词法和语义分析② 优化sql语句,指定执行计划③ 执行并返回结果我们把这种普通语句称作Immediate Statements。 select colume from table where colume=1; select colume from table where colume=2; 但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同,那么这个时候会对上面两条语句生成两个执行计划,一千次查询就需要一千个执行计划,
SQL注入防御
Tomorrower_hua的博客
05-13 1046
【JDBC】 1、预编译语句 预编译语句会事先把SQL语句编译好,执行时仅仅需要用传入的参数代替掉?占位符即可。 2、存储过程 存储过程(Stored Procedure)是一组完成特定功能的SQL语句集。经编译后存储在数据库中,用户通过调用存储过程并给定参数(如果该存储过程带有参数)就可以执行它,也可以避免SQL注入攻击。 【Mybatis】 1、#将传入的数...
SQL注入和Mybatis预编译防止SQL注入
双眸
12-31 1163
什么是SQL注入?? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或页面请求url的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 实战举例 有个登陆框如下: 可以看到除了...
浅谈SQL注入防御手段
0verWatch的博客
08-02 4856
sql语句预编译 例如: String sql = "select id, no from user where id=?"; PreparedStatement ps = conn.prepareStatement(sql); ps.setInt(1, id); ps.executeQuery(); 这里采用了PreparedStatement,就会...
SQL 注入的介绍与代码防御
煜铭2011
10-07 3067
0x01 介绍         该软件使用受外部影响的输入来构造 SQL 命令的全部或一部分,但是它对可能在所需 SQL 命令发送到数据库时修改该命令的特殊元素未正确进行无害化处理。如果在用户可控制的输入中没有对 SQL 语法充分地除去或引用,那么生成的 SQL 查询可能会导致将这些输入解释为 SQL 而不是普通用户数据。这可用于修改查询逻辑以绕过安全性检查,或者插入其他用于修改后端数据库的语句
SQL注入攻击与防御
热门推荐
SkySuperWL的博客
08-08 1万+
什么是SQL注入 程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。攻击者可以提交一段精心构造的数据库查询代码,根据返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。受影响的系统:对输入的参数不进行检查和过滤的系统。简单的SQL注入实例 假设这么一个情景,一个网页的后台入口处需要验证用户名和密码,验证程序的SQL语句是这样
SQL注入防御研究(一)
zhalang8324的博客
01-13 731
本文持续更新。为SQL注入攻击与防御第二版读后感 第一章 SQL注入产生过程: 1.字符处理不当        '作为分界线。 2.类型处理不当        数字型,没加单引号,直接可继续执行命令。 LOAD_FILE, SELECT INTO OUTFILE 3.查询语句组装不当        $SQL = "SELECT". $_GET["column1"]. ",". $_...
防范SQL注入攻击:经典案例与防御策略
- **参数化查询**:在发送SQL查询时,使用预编译语句或参数化查询,这样用户的输入会被视为数据,而不是SQL代码,从而避免解析错误。 - **输入验证**:对用户输入进行严格的格式检查和过滤,去除特殊字符和SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值