sql的预编译为什么可以防止sql注入

最新推荐文章于 2024-01-05 00:24:05 发布
最新推荐文章于 2024-01-05 00:24:05 发布
阅读量799 收藏 3
点赞数
文章标签: 数据库 sql java mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_16607641/article/details/114259205
版权

参考链接:https://www.zhihu.com/question/268680479

如果不使用预编译,那么我们一般做查询或更新的条件,是用字符串拼起来的,例如zhuan

String id = (String)request.getAttribute("id");    //假设页面shu上传了一个id值过来
String SQL = "SELECT ID,NAME FROM USER WHERE ID='" + id + "'";    //拼接成一个完整的sql语句

初看没有什么不对,但是因为id是界面上客户输入的,所以如果没有进入校验,有人输入了一个aa’ or ‘1’='1 把这个值代入到上面的sql语句里面,那么我们最后拼接的sql语句就会变成

SELECT ID,NAME FROM USER WHERE ID='aa' or '1'='1'

这样就能查到了所有的数据,也就是SQL注入

但是,如果用preparedstatement的话,就没有这个问题

String sql = "insert into tb_name (col1,col2,col2,col4) values (?,?,?,?)";
perstmt = con.prepareStatement(sql);
perstmt.setString(1,var1);
perstmt.setString(2,var2);
perstmt.setString(3,var3);
perstmt.setString(4,var4);
perstmt.executeUpdate();

流程大致如下:

  1. 解析阶段
  2. 编译阶段
  3. 优化阶段
  4. 缓存阶段
  5. 执行阶段

在这里插入图片描述

PrepareStatement发送到服务器后会经历上述1、2、3、4过程,PrepareStatement并不是完整的sql语句,在执行之前还需要进行用户数据替换。在填入用户数据时,PrepareStatement已经经历了上述过程,就不会重新编译,用户的数据只能作为数据进行填充,而不是sql的一部分。服务器从缓存中获得已经编译优化后的语句,替换掉用户数据执行,避免了sql注入。

jilcccccc
关注
【网络安全 | SQL注入】一文讲清预编译防御SQL注入原理
等风来
12-26 5264
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。 举个例子,很多情况下,一条SQL语句可能会反复执行,或者每次执行的时候只有个别的参数值不同,如:
预编译SQL防止SQL注入
shengyin714959的博客
12-09 1395
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 中占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。当我们通过 JDBC 使用执行预编译 SQL 的时候,此处的预编译实际上是假的预编译(至少 MySQL 是如此,不过其他数据库仍待确认),
数据库预编译为什么能防止SQL注入呢?
热门推荐
weixin_45179130的博客
06-04 1万+
要回答这个问题,我们要知道怎么进行的SQL注入,所谓知己知彼,方能百战百胜。 什么是SQL注入?? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或页面请求url的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不...
【面经】预编译为什么可以防止sql注入,mybatis是如何预防的
weixin_45525005的博客
08-20 1532
安全工程师一面遇到的问题: 1、sql注入怎么防御? 答:sql语句预编译 为什么预编译防止sql注入? 吐血!!平时只记着sql注入的防御方法是预编译,没想到问这个还答不上来。 赶紧补一补,下面是我的个人理解,如有哪里写的不对 ,恳请各位大牛斧正。 首先我们要知道执行一条sql命令的过程: 一条sql语句的执行需要经过语义解析,制定执行计划,执行并返回结果。 预编译是指把要执行的sql语句先进行一个解析,解析语法以及确定查询范围还有查找的返回结果类型,就是确...
预编译sql注入
scheme2008的专栏
11-03 315
prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。 createStatement不会初始化,没有预处理,没次都是从0开始执行SQL 以Oracle为例吧 Statement为一条Sql语句生成执行计划, 如果要执行两条sql语句 select colume from table where colume=1; sele...
预编译真的能完美防御SQL注入吗?
最新发布
白天安全建设,晚上全栈开发,大模型爱好者。公众号:飞羽技术工坊。
01-05 1032
在之前面试的时候,我还是太菜了,有一道面试题还是值得研究研究的。面试官问我,怎样完全避免sql注入?我想起了刚毕业时校招有一次也被问过一样的问题,当时我说的是:“基本上预编译就能解决了。”当时并没有对我提出质疑,所以我就一直以为预编译是无敌的,可以绝对防御sql注入。所以这次被问到,我依旧回答了预编译,不过这次面试官没有放我一马,开始对我进行追问:“有没有什么情况是预编译无法解决的?”我一听就知道完蛋了,自己才学疏浅终于还是掉坑里了,然后才意识到自己根本没有去深入研究过预编译。所以这次就想记录一下。
python 预编译sql_python pymysql 防止SQL注入 预编译
weixin_34079307的博客
03-01 1080
【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】这里我给出部分我代码的样例,大家可以参考一下。def ShieldIp_query(self, request_data):try:if self.Pd_data_value(request_data, "size"):size = request_data["size"]else:size = 20if self.P...
mysql预编译防止注入_预编译防止sql注入
weixin_32016633的博客
02-02 895
java预编译语句集能防止所有sql注入吗是的,预编译有个类是PreparedStatement. 这个类的对象是通过参数?来传值的 例: String sql = "select * from table where id = ?"; Connection con = .///这里得到是数据库的连接 PreparedStatement ps = con.prepareStatement(sql...
SQL预编译
LuM523的博客
04-23 1049
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语...
预编译SQL注入
weixin_50968698的博客
09-23 993
预编译SQL注入
用PreparedStatement 预编译SQL 就不会有被 SQL 注入的风险?
数字化小李的博客
12-07 719
当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。一个标准的预编译 SQL 的用法如下:先通过 设置一个 SQL 模板,然后通过 提交参
sql注入预编译
qq_61109509的博客
02-25 1871
sql预处理就是提前告诉sql语法处理器,提前声明且编译特定格式的sql语句,将所有用户的输入视为纯字符串参数,最后组成查询语句 php使用预处理的步骤 1,连接到数据库 2,设置预处理语句的结构 3,用户输入 4,执行sql语句 $stmt=$conn->prepare('SELECT 1 FROM user WHERE username=? AND password=?'); //设置预处理的语句结构,?表示要填入的用户输入 $input_username="root"; $.
借助预编译防止sql注入攻击
weixin_30802273的博客
04-29 111
可重用的sql操作类 1 public ResultSet doQuery(String sql,Object[] params){ 2 ResultSet rs = null; 3 conn = this.getConnection(); 4 try{ 5 PreparedStatement pstm...
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 2912
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
SQL预编译-防止sql注入
m0_37695902的博客
06-09 4096
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
预编译解决sql的注入攻击PrepareStatement
李卫康的博客
06-29 769
SQL注入攻击:由于dao中执行的SQL语句是拼接出来的,其中有一部分内容是由用户从客户端传入,所以当用户传入的数据中包含sql关键字时,就有可能通过这些关键字改变sql语句的语义,从而执行一些特殊的操作,这样的攻击方式就叫做sql注入攻击1.登陆的数据库实现代码:public User findUserByUserNameAndPassword(String username, String p...
mysql预编译还有办法注入么_为什么预编译可以防止sql注入
weixin_30068377的博客
02-07 954
为什么预编译可以防止sql注入发布时间:2020-07-11 16:59:46来源:亿速云阅读:135作者:Leah为什么预编译可以防止sql注入?针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。预编译可以防止sql注入的原因:进行预编译之后,sql语句已经被数据库分析,编译和优化了,并且允许数据库以参数化的形式进行查询,所以即使有敏...
SQL注入——预编译CASE注入
来日可期的博客
09-25 1808
预编译 CASE(Prepared CASE)是一种数据库查询语言(如SQL)中的控制语句,它可以根据条件表达式的值来选择执行不同的语句块,类似于编程语言中的 switch 语句。预编译 CASE 注入则是一种基于预编译 CASE 语句的安全漏洞攻击。预编译 CASE 注入攻击的漏洞原理与其他类型的注入攻击相似,即攻击者尝试构造特定的输入数据来绕过应用程序的输入验证和过滤机制,从而能够执行未经授权的操作或获得敏感信息等。在预编译 CASE 注入攻击中,攻击者通常会针对应用程序中存在的具有条件判断语句
为什么预编译可以防止sql注入
03-24
预编译可以防止 SQL 注入,因为预编译语句将 SQL 查询和参数分开处理,使得参数不会被解释为 SQL 代码的一部分。这样,即使攻击者试图注入恶意代码,也只会将其注入到参数中,而不是 SQL 查询中。因此,预编译语句...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值