SQL参数化查询为什么能够防止SQL注入

最新推荐文章于 2024-03-26 10:43:23 发布
最新推荐文章于 2024-03-26 10:43:23 发布
阅读量241 收藏 1
点赞数
文章标签: sql 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64355285/article/details/132709067
版权

1.SQL注入是什么

将SQL命令插入到表单提交或输入域名或页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。

-- 正常的查询语句
select * from users where username = 'a';

-- 恶意的查询语句
select * from users where username = 'a' or 1==1;

2.参数化查询是什么

参数化查询是指查询数据库时,在需要填入数据的地方,使用参数来给值。

set @id = 1;
SELECT * from users WHERE id = @id ;

3.SQL语句的执行处理

SQL语句按处理流程看有两类:即时SQL、预处理SQL。

  • 即时SQL 即时SQL从DB接收到最终执行完毕返回,大致的过程如下:
    • 词法和语义解析
    •  优化sql语句,制定执行计划
    • 执行并返回结果

特点:一次编译,单次运行。

  • 预处理SQL 程序中某条sql可能会被反复调用,或者每次执行的时候只有个别的值不同。如果每次按即时SQL的流程来看,效率是比较低的。 这时候可以将SQL中的值用占位符代替,先生成SQL模板,然后再绑定参数,之后重复执行该语句的时候只需要替换参数,而不用再去进行词法和语义分析。可以视为SQL语句模板化或参数化。

特点:一次编译,多次运行,省去了多次解析等过程。(多次运行是指在同一会话中再次执行相同的语句,也就不会被再次解析和编译)

-- 语法
# 定义预处理语句
PREPARE stmt_name FROM preparable_stmt;
# 执行预处理语句
EXECUTE stmt_name [USING @var_name [, @var_name] ...];
# 删除(释放)定义
{DROP | DEALLOCATE} PREPARE stmt_name;

4.预处理SQL 是如何防止SQL注入的

待执行的SQL被编译后存放在缓存池中,DB执行execute的时候,并不会再去编译一次,而是找到SQL模板,将参数传递给它然后执行。所以类似于 or 1==1 的命令会当成参数传递,而不会进行语义解析执行。

-- 预处理编译 SQL ,会占用资源
PREPARE stmt1 from 'SELECT COUNT(*) FROM users WHERE PASSWORD = ? AND user_name = ?';

set @a = 'name1 OR 1 = 1';
set @b = 'pwd1';

EXECUTE stmt1 USING @b,@a;

-- 使用 DEALLOCATE PREPARE 释放资源
DEALLOCATE PREPARE stmt1;
码事通
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
参数化查询为什么能够防止SQL注入
01-30
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到...
SQL注入 生成参数化的通用分页查询语句
01-01
想要SQL注入,只能对输入的参数进行过滤,例如将一个单引号“’”转换成两个单引号“””,但这种做法是不安全的,厉害的黑客可以通过编码的方式绕过单引号的过滤,要想有效SQL注入,只有参数化查询才是最终的...
四种防止SQL注入的解决方案
weixin_43702295的博客
01-11 4640
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。这个id从请求参数中获取,若参数被拼接为:此时,数据库的数据都会被清空掉,后果非常严重PreparedStatement防止SQL注入mybatis中#{}防止SQL注入对请求参数的敏感词汇进行过滤。
mysql sql语句 参数化_参数化SQL语句
weixin_34632251的博客
01-19 620
避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件查询SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的...
参数化查询原理
王如霜
02-08 6507
机房重构敲组合查询时,会遇到多个操作符(+、-、*、/),因为之前在使用参数化查询时只要遇到给数据库赋值时就使用参数,(光知道这样能防止SQL注入,直到如今才知道它为什么能防止SQL注入)索性就把操作符也用成参数,但这时就报“语法错误”了,可是解决了很长时间,老以为是sql语句写错了(自我认为是那种丢掉一个空格或引号之类的错误),其实是没真正理解之前听到到“SQL注入”的原理,或是说为什么能“
防止SQL注入攻击的10种有效方法
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
防止SQL注入的四种方案
dehuisun的专栏
09-05 9759
SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL案列这个id从请求参数中获取,若参数被拼接为:1001 or 1 = 1此时,数据库的数据都会被清空掉,后果非常严重.
参数化查询为什么能够防止SQL注入[整理].pdf
10-12
参数化查询是一种防止SQL注入的有效方法,但很多人不知道为什么参数化查询能够防止SQL注入。下面,我们将一步一步的解释为什么SQL注入发生和参数化查询如何防止SQL注入。 首先,我们需要了解SQL Server是如何处理...
SQLServer 参数化查询经验分享
09-11
- **避免SQL注入**:使用参数化查询可以有效防止SQL注入攻击,因为参数不会被视为SQL命令的一部分,而是作为数据传递。 - **减少内存消耗**:由于多个类似的查询可以共享同一个执行计划,因此内存中的存储过程缓存...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6537
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
细说SQL注入:攻击手法与御策略
鹅子鱼的博客:很菜但是很好学的小菜鸟
05-12 2187
细说MySQLSQLServer、Oracle数据库注入常见手法及简单利用,php的sql注入御输入验证与转义、使用参数化查询和预编译语句等方法
MySQL如何使用参数化查询
最新发布
长风破浪会有时的博客
03-26 1052
参数化查询是一种编写数据库查询的方法,它可以帮助我们更安全地获取数据。就像是我们用一个特殊的盒子(参数)来装我们要查询的信息,然后把这个盒子交给数据库去查找。这样,数据库就只知道盒子里的内容,而不知道其他任何可能有害的信息。
参数化查询 (Parameterized Query或Parameterized Statement)
qq_24807389的博客
10-25 1965
https://translate.google.com.hk/translate?hl=zh-CN&sl=auto&tl=zh-CN&u=https%3A%2F%2Fzh.wikipedia.org%2Fwiki%2F%E5%8F%83%E6%95%B8%E5%8C%96%E6%9F%A5%E8%A9%A2&anno=2 参数化查询 (Parameterized...
参数化查询
nchu2020的专栏
03-05 1162
SQL参数化查询 一、以往的御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行
为什么参数化查询可以防止SQL注入?(转)
weixin_30814319的博客
05-09 593
昨天被某大牛问了一个问题,为什么SQL参数化查询可以防止SQL注入参数化查询的原理是什么? 结果闷逼了,之前只知道参数化查询是可以防止SQL注入,但是没有深究其原理,今天就找一些文章,学习一下,也分享给大家。 以下引用知乎大神们的回答: 原理是采用了预编译的方法,先将SQL语句中可被客户端控制的参数集进行编译,生成对应的临时变量集,再使用对应的设置方法,为临时变量集里面的元素进行赋值,...
SQL参数化查询
热门推荐
zyw_anquan的专栏
03-26 4万+
SQL参数化查询 一、以往的御方式 以前对付这种漏洞的方式主要有三种: 字符串检测:限定内容只能由英文、数字等常规字符,如果检查到用户输入有特殊字符,直接拒绝。但缺点是,系统 中不可避免地会有些内容包含特殊字符,这时候总不能拒绝入库。字符串替换:把危险字符替换成其他字符,缺点是危险字符可能有很多,一一枚举替换相当麻烦,也可能有漏网之 鱼。存储过程:把参数传到存储过程进行处理,但
为什么参数化查询可以防止sql注入,请举例说明
05-29
参数化查询是一种使用占位符代替实际的用户输入数据的查询方式,它将用户输入数据与查询语句分开处理,从而避免了 SQL 注入攻击。在参数化查询中,占位符的值由应用程序动态生成,而不是从用户输入中获取。这样,即使攻击者在用户输入中注入恶意代码,也无法对查询语句产生影响。 下面是一个使用参数化查询的示例代码: ```python import mysql.connector # 连接数据库 conn = mysql.connector.connect(user='root', password='password', database='test') # 创建游标对象 cursor = conn.cursor() # 定义查询语句 query = "SELECT * FROM users WHERE username = %s AND password = %s" # 定义查询参数 params = ('admin', '123456') # 执行查询 cursor.execute(query, params) # 获取查询结果 result = cursor.fetchall() # 关闭游标和连接 cursor.close() conn.close() # 输出查询结果 print(result) ``` 在上述代码中,`%s` 表示占位符,它会被真实的参数值替换。在执行查询时,我们将查询语句和参数分开处理,通过 `cursor.execute(query, params)` 将参数传递给查询语句。这样,即使攻击者在用户输入中注入恶意代码,也无法对查询语句产生影响。 例如,如果攻击者在用户名输入框中输入以下内容: ``` admin';DROP TABLE users;-- ``` 那么这条语句将被认为是无效的,因为它无法匹配到任何一条记录,也无法破坏数据库的结构。 因此,使用参数化查询可以有效地防止 SQL 注入攻击,它是目前最为常用和有效的御措施之一。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值