mysql sql php 参数化查询

最新推荐文章于 2024-03-26 10:43:23 发布
最新推荐文章于 2024-03-26 10:43:23 发布
阅读量6.5k 收藏 2
点赞数
分类专栏: Web


参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库连结并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。

有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。

目录[ 隐藏] 1原理 2SQL 指令撰写方法 2.1Microsoft SQL Server 2.2Microsoft Access 2.3MySQL 3客户端程序撰写方法 3.1ADO.NET 3.2PHP 3.3JDBC 3.4Cold Fusion[ 编辑]原理

在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有具破坏性的指令,也不会被数据库所运行。

[ 编辑]SQL 指令撰写方法

在撰写 SQL 指令时,利用参数来代表需要填入的数值,例如:

[ 编辑]Microsoft SQL Server

Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成,SQL Server 亦支持匿名参数 "?"。

SELECT*FROM myTable WHERE myID = @myID
INSERTINTO myTable (c1, c2, c3, c4)VALUES(@c1, @c2, @c3, @c4)
[ 编辑]Microsoft Access

Microsoft Access 不支持具名参数,只支持匿名参数 "?"。

UPDATE myTable SET c1 = ?, c2 = ?, c3 = ? WHERE c4 = ?
[ 编辑]MySQL

MySQL 的参数格式是以 "?" 字符加上参数名称而成。

UPDATE myTable SET c1 = ?c1, c2 = ?c2, c3 = ?c3 WHERE c4 = ?c4
[ 编辑]客户端程序撰写方法

在客户端代码中撰写使用参数的代码,例如:

[ 编辑]ADO.NETSqlCommand sqlcmd =new SqlCommand("INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)", sqlconn);

sqlcmd.Parameters.AddWithValue("@c1", 1);// 設定參數 @c1 的值。
sqlcmd.Parameters.AddWithValue("@c2", 2);// 設定參數 @c2 的值。
sqlcmd.Parameters.AddWithValue("@c3", 3);// 設定參數 @c3 的值。
sqlcmd.Parameters.AddWithValue("@c4", 4);// 設定參數 @c4 的值。

sqlconn.Open();
sqlcmd.ExecuteNonQuery();
sqlconn.Close();
[ 编辑]PHP$query=sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",
mysql_real_escape_string($Username),
mysql_real_escape_string($Password));
mysql_query($query);

或是

$db=new mysqli("localhost","user","pass","database");
$stmt=$mysqli->prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");
$stmt->bind_param("ss",$user,$pass);
$stmt->execute();
[ 编辑]JDBCPreparedStatement prep = conn.prepareStatement("SELECT * FROM USERS WHERE USERNAME=? AND PASSWORD=?");
prep.setString(1, username);
prep.setString(2, password);
[ 编辑]Cold Fusion<cfqueryname="Recordset1"datasource="cafetownsend">
SELECT *
FROM COMMENTS
WHERE COMMENT_ID =<cfqueryparamvalue="#URL.COMMENT_ID#" cfsqltype="cf_sql_numeric">

</cfquery>

转自:http://zh.wikipedia.org/w/index.php?title=%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2&variant=zh-cn

jielione
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql 参数化_安全 -- mysql参数化查询,防止Mysql注入
weixin_39828847的博客
01-18 637
参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数(Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击(SQL Injection) 的攻击手法的防御方式。有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不...
PHP连接数据库mysqli总结
MPF1230的博客
01-13 635
PHP链接MySQL服务器用法 PHP自身是无法识别sql语句的,所以需要PHPsql语句作为字符串传递到sql服务器,通过数据库服务器执行sql语句,最后将查询结果返回到PHP PHP进行SQL操作可以分为六个步骤的操作: ...
SpringBoot个人博客项目搭建—后台博客界面功能介绍(六)
清峰的博客
10-10 2425
后台博客界面功能介绍
MySQL如何使用参数化查询
最新发布
长风破浪会有时的博客
03-26 395
参数化查询是一种编写数据库查询的方法,它可以帮助我们更安全地获取数据。就像是我们用一个特殊的盒子(参数)来装我们要查询的信息,然后把这个盒子交给数据库去查找。这样,数据库就只知道盒子里的内容,而不知道其他任何可能有害的信息。
mysql 参数化_MySQLsql参数化
weixin_30314045的博客
01-18 1598
奋斗的路上,时间总是过得很快,目前的困难和麻烦是很多,但是只要不忘初心,脚踏实地一步一步的朝着目标前进,最后的结局交给时间来定夺。周末了,我们来说说一下,sql语句的参数化问题,为了避免sql注入的问题,我们把sql语句进行参数化,来增加数据库的安全性。词穷,先看看code吧!from MySQLdb import *'''sql数据参数化就是为了防止sql注入的'''#连接数据库coon =...
python中mysql相关(数据库连接、查询以及sql参数化
sh_suhu的博客
11-22 739
首先可以用 pymysql 库来连接 MySQL 数据库,然后通过。最后,如果要将列名、表名、查询条件全部参数化,参考如下。将上文中的 执行sql查询语句 部分替换成下面的代码。
sql格式化工具集合
01-19
第三款是针对MySQL的,是作者从phpMyAdmin中抠出来的,php-SQL-Format ,这个在我本地出了点小问题,复杂SQL格式化不了,我和作者沟通,他说有可能是SQLParser的问题,没有深究,我又观察了下,我觉得是过程中传递...
SQLBuilder:一个功能强大,快速,跨平台PHP SQL Builder。 通过流利的样式界面将结构化数据转换为SQL查询,并以所有主流数据库(MySQL,PostgreSQLSQLite)为目标
02-04
SQLBuilder不是ORM(对象关系映射)系统,而是一个可帮助您在PHP中生成跨平台SQL查询的工具集。 SQLBuilder是一个独立的库,您可以通过composer进行简单安装,也可以通过自动加载器仅要求它们(类文件),并且没有...
php mysql数据库操作类(实例讲解)
12-20
$conn在对象实例化的时候,由构造函数处理传入的参数后返回一个资源型的连接句柄。而后即可通过调用该实例化的对象的相应方法对数据库进行增删查改的操作。 talk less and show code: <?php /** *以下代码用于...
Increment_Backup_To_Hive:一个增量备份关系数据库(MySQL, PostgreSQL, SQL Server, SQLite, Oracle等)到hive的php脚本工具
05-13
Hive一个增量备份关系数据库(MySQL, PostgreSQL, SQL Server, SQLite, Oracle等)到hive的php脚本工具原理由于sqoop可定制性太差,本工具针对增量备份场景,备份某张表时只需要用户填写几个关键参数,就能自动化生成...
PHPMySQL Web开发第4版
08-13
phpmysql web开发(原书第4版)》:开发人员专业技术丛书。 目录 读者反馈 译者序 前言 作者简介 第一篇 使用PHP 第1章 PHP快速入门教程 1.1 开始之前:了解PHP 1.2 创建一个示例应用:Bob汽车零部件商店 ...
php sql参数,php sql 类似 mybatis 传参
weixin_42388631的博客
03-24 301
PHP sql 处理上,没有类似于 java mybatis的工具,导致进行一些sql 处理时,会有诸多不便,楼主抽时间写了一个 php 类似 mybatis的sql 工具,省去了拼装sql 的时间代码如下$sqlStartTarg = "#{";$sqlEndTarg = "}";/*** 替换 #{key} 部分* Enter description here ...* @param $v...
php 查询并保存sql_PHP获取SQL查询结果
weixin_29110051的博客
03-09 525
前面我们介绍了如何执行一条 SQL 语句,也就是调用《mysqli_query() 函数》。当我们执行一条 SELECT 命令的 SQL 语句时,mysqli_query() 函数会返回一个 PHP 资源的引用指针(结果集),也就是这条 SQL 语句的查询结果。通常我们需要对这一结果集进行处理才能得到我们想要的信息。在 PHP 中处理数据结果集的函数主要有以下几个:mysqli_fetch_row...
php 参数化查询 sql,php通过参数化查询防止sql注入的简单示例
weixin_35690449的博客
03-10 572
这篇文章主要为大家详细介绍了php通过参数化查询防止sql注入的简单示例,具有一定的参考价值,可以用来参考一下。对php中通过参数化查询防止sql注入感兴趣的小伙伴,下面一起跟随512笔记的小编两巴掌来看看吧!php中通过参数化查询防止sql注入,有两种方法,一是通过pdo,一是通过mysqli使用 PDO:/*** php中通过参数化查询防止sql注入** @param* @arrange 51...
phpmysql传值方法_PHP函数参数传递的四种方式
weixin_31140863的博客
01-28 505
在调用函数时,需要向函数传递参数,被传入函数的参数称为实参,而函数定义的参数称为形参。而向函数传递参数的方式有四种,分别是值传递、引用传递、默认参数和可变长度参数。1. 值传递值传递是 PHP 中函数的默认传值方式,也称为“拷贝传值”。顾名思义值传递的方式会将实参的值复制一份再传递给函数的形参,所以在函数中操作参数的值并不会对函数外的实参造成影响。因此如果不希望函数修改实参的值,就可以通过值传递的...
php连接数据库并执行sql语句查询
weixin_46475950的博客
05-27 1625
学习记录: php连接数据库并执行sql语句查询: <?PHP $date_db='test1'; $conn=mysqli_connect("localhost","root","root");//连接字符串 $comm=mysqli_select_db($conn,$date_db);//利用连接字符串选择数据库 $username = addslashes($_POST['username']);//得到数据 $password = addsla...
php sql语句参数,phpSQL参数数据类型int对于charindex函数的参数1无效
weixin_42151729的博客
03-19 1062
我正在尝试将MySQL查询转换为MsSql查询,但我遇到了麻烦.这是我的查询MySQL的SELECT *,(SELECT count(books.id)FROM booksWHERE books.status = 1AND FIND_IN_SET(categories.id, books.multiple_category_id)) AS book_countFROM categories, b...
c mysql 参数化查询,Mysql 参数化查询 in 和 like
weixin_35034072的博客
03-18 334
背景:为了防范 SQL 注入攻击, 在查询 mysql 的时候, 我们会选择参数化查询. 但是, 有些情况比较特别, 传入的参数需要特别处理才可以传入, 常见的就是 in 和 like 的场景.1 模糊查询 likelogin = "%" + login + "%"db.query(`select * from test where login like ? or id like ?`, logi...
MYSQL是否支持参数化查询
06-02
是的,MySQL支持参数化查询。使用参数化查询可以有效地防止SQL注入攻击,提高应用程序的安全性。 在MySQL中,可以使用预处理语句来实现参数化查询。使用预处理语句,可以将SQL语句和参数分离开来,从而避免了恶意用户输入一些SQL语句,从而破坏原有的SQL语句执行逻辑的情况。 在PHP中,可以使用PDO扩展或mysqli扩展来实现MySQL的预处理语句。使用PDO预处理语句,可以更加方便地实现MySQL参数化查询。例如: ``` $stmt = $pdo->prepare('SELECT * FROM users WHERE username = :username'); $stmt->bindParam(':username', $username); $stmt->execute(); ``` 在上面的代码中,使用了PDO的预处理语句和bindParam方法来绑定参数。这里的$pdo是PDO连接对象,$username是从用户输入中获取的参数。bindParam方法将参数值绑定到:username占位符上,并执行查询操作。 因此,MySQL支持参数化查询,可以使用预处理语句来实现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值