预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解_预编译防止sql注入

于 2024-04-21 10:28:55 发布
阅读量996 收藏 14
点赞数 29
分类专栏: 2024年程序员学习 文章标签: sql 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62289824/article/details/138027183
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

在这里插入图片描述

从注入的过程中我们可以发现,SQL注入的核心是:用户输入的参数改变了SQL的语法结构。

而预编译,可以防止语法结构被改变。在讲预编译之前,我们得先了解下SQL的执行过程。

1、SQL执行过程

以MySQL为例,数据库在执行SQL语句时,需要经历7个步骤:

  1. 词法分析:将SQL语句分解成一个个token(关键字、标识符、运算符),然后对token进行分类和解析,生成相应的数据结构。
  2. 语法分析:根据SQL语法检测规则检查语法是否正确,并成成语法树。
  3. 语义分析:遍历语法树,确定表和列等信息,同时检查语义的正确性。
  4. 优化处理:使用优化器对SQL语句进行处理和优化,比如执行计划、索引等。
  5. 执行计划:使用执行计划生成器生成SQL语句的执行计划,比如数据的访问方式,索引的使用方式等。
  6. 引擎执行:将执行计划发送给相应的数据库引擎进行处理,执行计划被翻译成底层的操作指令,执行数据扫描、索引查找、排序、分组等操作。
  7. 返回数据:将执行结果返回给客户端,比如查询结果集或操作结果。

在这里,我们粗暴的把执行过程理解成两步,即:先编译SQL语法结构(1~3步),再执行SQL语句(4~7步)。

正常情况下,用户输入的参数会直接参与SQL语法的编译,而预编译则是先构建语法树,确定SQL语法结构以后,再拼接用户的参数。

2、预编译原理

预编译最初的目的是提高代码的复用性,因为有很多只有参数值不同的SQL(完全相同的SQL会从缓存里查),比如:

select \* from user where id='1'


select \* from user where id='2'

这些SQL的语法树相同,但每次都要进行重复的编译,很浪费时间。

而预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间。

select \* from user where id={占位符}

通过抓包来看,SQL语句先被预编译(Prepare Statement),参数值先用占位符替代。等执行(Execute Statement)的时候,再传入参数。

在这里插入图片描述

用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。

扩展:

PHP的PDO(PHP Data Object)是操作多种数据库的统一接口,提供了两种预编译机制:本地预编译和模拟预编译。
本地预编译是指数据库自身进行预编译,也是我们这里提到的预编译方式。
模拟预编译则用于那些不支持预编译的数据库,本质上是在底层先对用户的输入进行转译,再对SQL语句进行拼接,然后把完整的SQL语句发给数据库执行。
转译后的参数只会当做字符串处理,无法参与SQL的编译(在PHP 5.3.6前,使用单字节字符集转译,存在单字节注入)正确设置字符集,也可以防止SQL注入。

3、预编译防止SQL注入

以 MyBatis(半自动化的持久层框架)为例,#{id}这种格式传参,会先把SQL传给数据库进行预编译,等调用的时候,再用参数替换掉占位符,然后执行。

<select id="getUser" resultType="Blog" parameterType=”int”>
         SELECT \*
         FROM user
		 WHERE id=#{id}
</select>

但有些SQL需要使用动态表名和列名,这种时候就不能使用预编译了,需要把#{id}换成${id},这样参数就会直接参与SQL编译,无法防止SQL注入,这时候就要手动过滤参数了。

提示:MyBatis框架的预编译,是JDBC中的PreparedStatement类在起作用,它的对象包含了编译好的SQL语句。

PHP中使用MySQL的预编译功能:

1)定义预编译的SQL语句,参数用占位符 ? 表示

$sql = "SELECT \* FROM user WHERE id= ? ";

2)创建预处理对象

$mysqli\_stmt = $mysqli->prepare($sql);

3)绑定参数

$mysqli\_stmt->bind\_param('i', $id);

4)绑定结果集



## 学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/7a04c5d629f1415a9e35662316578e07.png#pic_center)





**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
![img](https://img-blog.csdnimg.cn/img_convert/99ce07bb1acc02657d1328a888194636.png)

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
[外链图片转存中...(img-AfCQlpaC-1713666518112)]

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
还记得儿时吗
关注
  • 29
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
预编译为什么能防止SQL注入一看你就明白了。预编译原理详解
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
【開山安全笔记】预编译是如何阻止sql注入
開山安全,無限进步
10-22 1015
语法树的建立?模糊查询又如何实现预编译
预编译以及为什么预编译可以防止sql注入
weixin_44717588的博客
03-15 4375
预编译 什么是预编译? 预编译就是做一些代码文本的替换工作,是整个编译过程最先做的事情. 比如有一个语句: 我可真是太##了! 预编译就是对#进行替换,我换成漂亮,则变成:我可真是太漂亮了! 其实就是在代码运行之前,对代码进行一些处理. 为什么预编译能够防止sql注入? 我们先来看一个例子,通俗的理解一下预编译的注入: 使用sql拼接:"select * from user where username = ’ " + name + " ’ "; 页面上可能会有个输入框:用户名:______________
预编译防止sql注入
mbtlami
05-17 1万+
使用PreparedStatement 怎么使用PreparedStatement?如何避免SQL注入式攻击?PreparedStatement与Statement有什么区别,有什么样的优势? [TOC] JDBC连接数据库操作步骤 public class JDBCTest { public static void main(String[] args) { ...
数据库预编译为什么能防止SQL注入呢?
热门推荐
weixin_45179130的博客
06-04 1万+
要回答这个问题,我们要知道怎么进行的SQL注入,所谓知己知彼,方能百战百胜。 什么是SQL注入?? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或页面请求url的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不...
参数化查询为什么能够防止SQL注入
03-01
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到...
mybatis防止SQL注入的方法实例详解
08-27
预编译语句是防止 SQL 注入的第一种方式。预编译语句在执行时会把 SQL 语句事先编译好,这样当执行时仅仅需要用传入的参数替换掉?占位符即可。例如: ```java Connection conn = getConn();//获得连接 String sql ...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
最新发布
12-29
SQL注入是一种严重的安全威胁,它允许攻击者通过在应用程序的输入字段中插入恶意SQL代码来执行未经授权的数据库操作。攻击者通常寻找没有适当验证和过滤的用户输入,然后利用这些漏洞来构造能改变原始SQL语句意图的...
MySQL预编译功能详解
12-16
- **防止SQL注入**:使用预编译的PreparedStatement接口,参数被作为单独的值处理,而不是作为字符串的一部分,这提高了安全性,有效阻止了SQL注入攻击。 2. **MySQL执行预编译的步骤** - **预编译语句**:用户...
预编译防止sql注入的简单理解
weixin_45983964的博客
05-12 589
网上看了一下预编译为什么能够防止sql注入,大部分都是套话。在浏览的时候发现了一句话,让我醍醐灌顶。是这样说的,是把用户输入的值当做该字段的属性。可能是我说法的问题,但大概意思就是: 如果我们没有做预编译的话,那么用户输入的值就会和该sql语句一起编译执行,那么用户输入的sql注入的语句也会被当做正常的语句进行执行。 如果我们利用了预编译的话,用户输入的值就会变成我们需要填充的一个字段,比如用户和密码这里。如果我们使用预编译,不管用户输入的是什么?我们也只会把输入的当做字符串填充到用户字段和密码字段下进行查
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 2792
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
JavaScript预编译原理分析
weber_chen的博客
03-05 153
转自 http://blog.csdn.net/q1056843325/article/details/52951114大家要明白,这个预编译和传统的编译是不一样的(可以理解js预编译为特殊的编译过程) JavaScript是解释型语言, 既然是解释型语言,就是编译一行,执行一行 传统的编译会经历很多步骤,分词、解析、代码生成什么的 日后有时间再给大家科普 下面就给大家分享一下我所理解的JS预编译...
JDBC防止SQL注入原理
tinaselling的博客
11-22 1486
一、基本解釋 1.JDBC(Java DataBase Connection):它是Java用来执行Sql的Java Api;可以为多种关系型数据库提供统一的访问接口,他是一组Java编写的类和接口。 2.statement:它 是 Java 执行数据库操作的一个重要接口,用于在已经建立数据库连接的基础上,向数据库发送要执行的SQL语句。Statement对象,用于执行不带参数的简单SQL语句...
为啥预编译SQL能够防止SQL注入
ma_nong33的博客
03-04 1318
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 中占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。作为条件的字段有哪些?在默认情况下是假的“预编译”,它只不过在设置参数的时候帮我们对参数做了一下转义,但是最后发送到数据库的依然是普通的 SQL,而不是按预编译 SQL 的方式去执行。
浅析预编译防止SQL注入原理
qq_44286009的博客
08-18 677
要理解防止SQL注入原理,那么首先需要知道什么是SQL注入。百度百科对SQL注入的解释如下:对于理论,这里不作过多赘述,通过一个例子来说明什么是SQL注入。假如我们有一个登录页面,登录页面大致如下图所示。这个时候,用户正常登陆就是输入用户名和密码进行登录。我们大致写一个后台的登录逻辑(这里大家不必过于较真,实际项目的登录逻辑肯定与下面代码是有出入的,这里主要是为了对SQL注入进行一个简单的演示// 数据库连接信息try {// 加载驱动// 建立数据库连接。
JS—预编译原理
weixin_42952665的博客
08-28 804
自己看了很多解释找到的算是两种解释吧,自己总结的大概如下 参考: JS运行三部曲—预编译:https://blog.csdn.net/Leo__Summer/article/details/77318411 JavaScript运行原理分析:https://www.jb51.net/article/134801.htm JavaScript运行原理 JavaScript是一种基于对象的...
js预编译原理
CasT1R's Blog
09-25 186
&lt;!DOCTYPE html&gt; &lt;html&gt; &lt;head&gt; &lt;meta charset="utf-8"&gt; &lt;title&gt;js预编译原理&lt;/title&gt; &lt;/head&gt; &lt;body&gt; &lt;script type="text/javascrip
预编译sql注入
scheme2008的专栏
11-03 300
prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。 createStatement不会初始化,没有预处理,没次都是从0开始执行SQL 以Oracle为例吧 Statement为一条Sql语句生成执行计划, 如果要执行两条sql语句 select colume from table where colume=1; sele...
预编译防止sql注入原理
09-09
预编译方式能够防范SQL注入原理是在执行SQL语句之前,首先对SQL语句进行预编译。这意味着SQL参数注入之后,预编译SQL语句不会再进行编译。因此,后续注入的参数将不会被系统认为是一条SQL语句,而是默认为参数。这就是为什么预编译能够防止SQL注入的原因。通过使用PreparedStatement,可以将动态变量绑定到SQL语句中,而不是直接将变量插入到SQL字符串中。这种方式避免了将用户输入直接拼接到SQL语句中,减少了SQL注入的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值