MySQL的SQL预编译及防SQL注入

最新推荐文章于 2024-08-11 23:03:27 发布
最新推荐文章于 2024-08-11 23:03:27 发布
阅读量1.7k 收藏 3
点赞数 7
分类专栏: MySQL 文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29750559/article/details/134387044
版权

文章目录

1 SQL语句的执行处理

SQL的执行可大致分为下面两种模式:

“Immediate Statements” VS “Prepared Staements” :

1.1 即时SQL

动态的根据传入的参数拼接SQL语句并执行,一条语句经过MySQL server层分析器、优化器、执行器组件,分别进行词法、语义解析、优化SQL语句、选择索引、制定执行计划、执行并返回结果。

对SQL语句进行词法语义分析、优化SQL语句、选择索引、制定执行计划等一系列操作,称为 “对SQL语句的编译”。

如上,一条SQL语句按照此流程处理,一次编译,单次运行,此类普通语句被称作 “Immediate Statements”(即时SQL)

例如:

bool CUserModel::getUser(uint32_t nUserId, DBUserInfo_t &cUser) 
{
    CDBConn* pDBConn = CDBManager::getInstance()->GetDBConn("teamtalk_slave");
    if(pDBConn) 
    {
    	//根据函数外部传入的参数 nUserId,动态构造 select查询语句并执行:
		string strSql = "select * from IMUser where id = " + int2string(nUserId);
		CResultSet* pResultSet = pDBConn->ExcuteQuery(strSql.c_str());
		if(pResultSet) 
		{
			while(pResultSet->Next()) 
			{
				//...
			}
		}
	} 
}

但是,绝大多数情况下,一般会需要一条SQL语句反复调用执行(例如上面的查找IMUser表中的用户信息,每次客户端向服务器请求登录验证时都需要执行一次),或者每次执行的时候只有个别的值不同(比如select的where子句值不同,update的set子句值不同,insert的values子句值不同)。

如果每次都需要经过上面的SQL编译过程(词法语义分析、语句优化、制定执行计划等),则效率明细会受到影响。

1.2 预处理SQL

所谓 “预编译SQL语句”,就是将此类SQL语句中的某些值使用 “占位符” 替代,可以视为将SQL语句 “模板化” 或者说 “参数化”。一般称这类语句为 “Prepared Statements”

预编译SQL语句的优势在于:一次编译、多次运行,省去了解析、优化等过程。此外使用预编译SQL语句还能防止SQL注入,下文展开。

1.2.1 预编译SQL的实现步骤

(1)先与MySQL数据库取得连接,获得 “连接句柄” MYSQL*

MYSQl* mysql_init();
mysql_options();
mysql_real_connect(MYSQL*, ip, user_name, passed, db_name, port);

(2)基于这个 MYSQL* 连接句柄,初始化一个“预编译句柄”MYSQL_STMT*

MYSQL_STMT* mysql_stmt_init(MYSQL*);

(3)传入准备好的带有“占位符”的SQL语句,进行编译:

mysql_stmt_prepare(MYSQL_STMT*, sql.c_str(), sizeof(sql));

(4)在后面要使用这个预编译的SQL语句时,需要向其中传入实参填补“占位符”,所以我们必须要先将占位符的个数统计出来,并预先初始化一个 MYSQL_BIND类型的结构体数组(MYSQL_BIND[]数组的元素个数是SQL语句中占位符的个数,数组中每个元素是MYSQL_BIND结构体,用于指定某个占位符上的数据类型(如int) 及 数据值),等待使用时向其中填充参数:

uint32_t m_param_cnt = mysql_stmt_param_count(MYSQL_STMT*);
MYSQL_BIND* m_param_bind = new MYSQL_BIND[m_param_cnt];	//新建一个数组

(5)在使用时,先给 MYSQL_BIND[] 数组填充值:

for(int index = 0; index < m_param_cnt; index++) 
{
	//如果value是int型:
	MYSQL_BIND[index].buffer_type = MYSQL_TYPE_LONG; 
	MYSQL_BIND[index].buffer = &value;
	/*
	//如果value是string型:
	MYSQL_BIND[index].buffer_type = MYSQL_TYPE_LONG; 
	MYSQL_BIND[index].buffer = (char*)value.c_str();
	MYSQL_BIND[index].buffer_length = value.size();
	*/
}

(6)向填充好实参的MYSQL_BIND数组传入MYSQL_STMT句柄,随后执行这条SQL语句,并检查执行结果:

msyql_stmt_bind_param(m_stmt, m_param_bind );
mysql_stmt_excute(m_stmt);		//如果有错误发生,函数返回非0,使用 mysql_stmt_error(m_stmt);可检查错误原因
mysql_stmt_affected_rows(m_stmt) == 0;

1.2.2 预编译SQL的C++使用举例

实现一个 CPrepareStatement 类,封装 MYSQL_STMT* 和 MYSQL_BIND* 对象,即相应的SQL预编译方法:


//cpreparestatement.h

class CPrepareStatement {
public:
    CPrepareStatement() {}
    ~CPrepareStatement() {}

    bool Init(MYSQL* mysql, string& sql);

    void SetParam(uint32_t index, int& value);
    void SetParam(uint32_t index, uint32_t& value);
    void SetParam(uint32_t index, string& value);
    void SetParam(uint32_t index, const string& value);

    bool ExecuteUpdate();

    uint32_t GetInsertId();

private:
    MYSQL_STMT*   m_stmt;
    MYSQL_BNID*   m_param_bind;
    uint32_t      m_param_cnt;
};


//cpreparement.cpp

bool CPrepareStatement::Init(MYSQL* mysql, string& sql) {
    mysql_ping(mysql);

    m_stmt = mysql_stmt_init(mysql);
    if(!m_stmt) {
        return false;
    }

    if(mysql_stmt_prepare(m_stmt, sql.c_str(), sql.size())) {
        printf("%s\n", mysql_stmt_error(m_stmt));
        return false;
    }

    m_param_cnt = mysql_stmt_papram_count(m_stmt);
    if(m_param_cnt > 0) {
        m_param_bind = new MYSQL_BIND[m_param_cnt];
        if(!m_param_bind) {
            return false;
        }
    }

    memset(m_param_bind, 0, sizeof(MYSQL_BIND) * m_param_cnt);
    return true;
}

//注意:给int型和string型赋值的方式是不同的:
void CPrepareStatement::SetParam(uint32_t index, int& value) {
    if(index >= m_param_cnt)
        return;

    m_param_bind[index].buffer_type = MYSQL_TYPE_LONG;
    m_param_bind[index].buffer = &value;
}

void CPrepareStatement::SetParam(uint32_t index, uint32_t& value) {
    if(index >= m_param_cnt)
        return;

    m_param_bind[index].buffer_type = MYSQL_TYPE_LONG;
    m_param_bind[index].buffer = &value;
}

void CPrepareStatement::SetParam(uint32_t index, string& value) {
    if(index >= m_param_cnt)
        return;

    m_param_bind[index].buffer_type = MYSQL_TYPE_LONG;
    m_param_bind[index].buffer = (char*)value.c_str();
    m_param_bind[index].buffer_length = value.size();
}

void CPrepareStatement::SetParam(uint32_t index, const string& value) {
    if(index >= m_param_cnt)
        return;

    m_param_bind[index].buffer_type = MYSQL_TYPE_LONG;
    m_param_bind[index].buffer = (char*)value.c_str();
    m_param_bind[index].buffer_length = value.size();
}

bool CPrepareStatement::ExecuteUpdate() {
    if(!m_stmt)
        return false;

    if(mysql_stmt_bind_param(m_stmt, m_param_bind)) {
        printf("%s\n", mysql_stmt_error(m_stmt));
        return false;
    }

    if(mysql_stmt_execute(m_stmt)) {
        printf("%s\n", mysql_stmt_error(m_stmt));
        return false;
    }

    if(msyql_affected_rows(m_stmt) == 0) {
        printf("no affect\n");
        return false; 
    }

    return true;
}

uint32_t CPrepareStatement::GetInsertId() {
    return mysql_stmt_insert_id(m_stmt);
}

使用 class CPrepareStatement 类执行insert into插入操作:

bool CMessageModel::sendMessage(uint32_t nRelateId, uint32_t nFromId, uint32_t nToId, IM::BaseDefine::MsgType nMsgType, uint32_t nCreateTime, uint32_t nMsgId, string& strMsgContent) {

    CDBConn* pDBConn = CDBManager::getInstance()->GetDBConn("teamtalk_slave");
    if(pDBConn) {
        string strTableName = "IMMessage_" + int2string(nRelateId % 8);
        string strSql = "insert into " + strTableName + " ('relateId', 'fromId', 'toId', 'msgId', 'content', 'status', 
                                        'type', 'created', 'updated') values (?, ?, ?, ?, ?, ?, ?, ?, ?)";

        shared_ptr<CPrepareStatement> pStmt = make_shared<CPrepareStatement>();
        if(pStmt->Init(pDBConn->GetMysql(), strSql)) {
            uint32_t nStatus = 0;   //表示查询未被删除的记录
			uint32_t index = 0;
            pStmt->SetParam(index++, nRelateId);
            pStmt->SetParam(index++, nFromId);
            pStmt->SetParam(index++, nToId);
            pStmt->SetParam(index++, nMsgId);
            pStmt->SetParam(index++, strMsgContent);
            pStmt->SetParam(index++, nStatus);
            pStmt->SetParam(index++, nMsgType);
            pStmt->SetParam(index++, nCreateTime);
            pStmt->SetParam(index++, nCreateTime);
            
            pStmt->ExecuteUpdate();
        }
        //delete pStmt; 使用shared_ptr智能指针,不必delete删除
        pDBManager->RelDBConn(pDBConn); //这里同样可以使用RAII的方法实现自动释放,在 CDBConn类对象析构的时候释放连接
    }
}

1.2.3 MYSQL_BIND()函数中的参数类型:

MYSQL_BIND() 函数中的参数类型如下表所示,可见 MYSQL_TYPE_LONG 表示的是 4字节的int型。
在这里插入图片描述

2 SQL注入

2.1 什么是SQL注入

所谓SQL注入,就是通过把SQL命令插入到Web表单提交或页面请求url的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。

实战举例

有个登陆框如下:
在这里插入图片描述
可以看到除了账号密码之外,还有一个公司名的输入框,根据输入框的形式不难推出SQL的写法如下:

SELECT * From table_name WHERE name=‘XX’ and password=‘YY’ and corporate=‘ZZ’

怎么做呢?
在这里插入图片描述
因为没有校验,因此,我们账号密码,都不填写,直接在最后,添加 or 1=1 –

看看与上面SQL组合,成了如下:

SELECT * From table_name WHERE name=’’ and password=’’ and corporate=’’ or 1=1-’

从代码可以看出,前一半单引号被闭合,后一半单引号被 “–”给注释掉,中间多了一个永远成立的条件“1=1”,这就造成任何字符都能成功登录的结果。

重要提醒
不要以为在输入框做个检查就够了,不要忘记了,我们web提交表单,是可以模拟url直接访问过去,绕开前段检查。因此,必须是后端,或是数据来检查才能有效防止。

(1)检查用户输入的合法性;

(2)将用户的登录名、密码等数据加密保存。

(3)预处理SQL。

(4)使用存储过程实现查询,虽然不推荐,但也是一个方法。

2.2 如何防止SQL注入

其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库已参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1’也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!

具体像这样。例如刚刚那条SQL:

SELECT * From table_name WHERE name=’’ and password=’’ and corporate=’’ or 1=1-’

开启预编译执行SQL的时候,则不会这么处理。会当成一个属性值。什么意思。随便你怎么加,都是一个值。也就是说,如果中间有产生歧义的,都将被处理掉,最后执行相当于是这样:

SELECT * From table_name WHERE name=’’ and password=’’ and corporate="'or 1=1–"

输入的一串,都被揉在一起,作一个参数,而不是SQL指令。

路飞H
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | SQL注入】一文讲清预编译防御SQL注入原理
等风来
12-26 5135
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。 举个例子,很多情况下,一条SQL语句可能会反复执行,或者每次执行的时候只有个别的参数值不同,如:
预编译SQL防止SQL注入
shengyin714959的博客
12-09 1363
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 中占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。当我们通过 JDBC 使用执行预编译 SQL 的时候,此处的预编译实际上是假的预编译(至少 MySQL 是如此,不过其他数据库仍待确认),
MySQL编码问题+MySQL预编译
最新发布
代码其实很简单
08-11 658
MySQL编码问题+MySQL预编译; 他首先是对sql语句先进行一个预编译,此时的sql语句是没有参数值的,而在预编译的时候,参数值的位置就会用逗号占位;--3当客户端传给MySQLserver的数据直接是一个汉字时,且当此时MySQL的客户端编码是utf-8,服务端是latin1,那么此时MySQLserver不是丢弃该汉字,而是直接报错!--->当我们输入一个汉字的组成的其中一个字符时,那么传给后端,此时后端是能够识别的,因为后端是utf-8编码的字符集(注意,这里只是说后端是utf-8的字符集,
sql 预编译语句
weixin_41563161的博客
11-25 5283
sql 预编译语句 1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。 注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种普通语句称作Immediate Statements。 但是很多情况,我们的一条sql语句可能会反
Mysql预编译SQL
Donald_Draper
12-05 390
JDBC驱动初始化-Mysql:[url]http://donald-draper.iteye.com/blog/2342010[/url] JDBC连接的获取:[url]http://donald-draper.iteye.com/blog/2342011[/url] Mysql负载均衡连接的获取:[url]http://donald-draper.iteye.com/blog/234208...
mysql预编译
weixin_34233618的博客
12-19 345
一.背景: 用Mybatis+mysql的架构做开发,大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,举例如下: Xml代码   &lt;select id=”aaa” parameterType=”int” returnType=”Blog”&gt;                      select * from blog where id = ...
SQL预编译
weixin_47804371的博客
03-22 6487
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
sql预编译
Mark
07-20 4014
1、什么是预编译 1.1、 sql的执行过程 ① 词法和语义分析② 优化sql语句,指定执行计划③ 执行并返回结果我们把这种普通语句称作Immediate Statements。 select colume from table where colume=1; select colume from table where colume=2; 但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同,那么这个时候会对上面两条语句生成两个执行计划,一千次查询就需要一千个执行计划,
mysql 预编译语句_SQL预编译
weixin_39928017的博客
01-19 930
1.数据库预编译起源(1)数据库SQL语句编译特性:数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。(2)减少编译的方法如果每次都需要经过上面的词法语义解析、...
python 预编译sql_python pymysql 防止SQL注入 预编译
weixin_34079307的博客
03-01 1053
【注意:此文章为博主原创文章!转载需注意,请带原文链接,至少也要是txt格式!】这里我给出部分我代码的样例,大家可以参考一下。def ShieldIp_query(self, request_data):try:if self.Pd_data_value(request_data, "size"):size = request_data["size"]else:size = 20if self.P...
MySQL预编译功能
04-07
MySQL预编译功能
mysql预编译sql语句 语法_Sql预编译与模拟预编译研究
weixin_39946996的博客
02-03 523
写在前面众所周知,预编译是解决sql注入的一个很好的方案,但是预编译在现实使用中却有着很多有趣的细节需要研究下。在没有经过实验之前,针对如下问题我也比较模糊,例如:1、Mysql预编译和模拟预编译有什么不同?哪种方式理论上更加安全呢?2、PHP中链接数据库Mysqli接口与PDO接口默认采用哪种方式进行预编译?3、Python中MySQLdb又是默认采用哪种方式进行预编译?4、程序采用Mysql数...
MySQL预编译功能简述
Li_Kun的博客
08-11 3983
预编译的好处 大家平时都使用过JDBC中的PreparedStatement接口,它有预编译功能。什么是预编译功能呢?它有什么好处呢? 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句。其中校验语法,和编译所花的时间可能比执行SQL语句花的时间还要多。 如果我们需要执行多次insert语句,但只是每
[MySQL]——SQL预编译、动态sql
Panci_的博客
10-31 7899
一条sql语句的执行过程为语法检查与解析->sql优化->编译->执行。原始的sql存在弊端,每条语句编译生成不同的SQL语句,浪费性能和空间。 两种参数占位符的区别 动态SQL的使用
sql预编译
weixin_52237037的博客
10-18 2741
sql预编译就是说:对于一个sql语句的执行,首先要进行,而上面这些sql语句,结构相同,只是参数不同,需要,这样就导致执行效率低。我们可以使用以下语句预编译后的sql语句,执行代码会缓存下来,这样在下次调用的时候,直接给占位符传参,执行即可。所以我们对于相同的预编译语句,我们只需要。可以视为将sql语句。一次编译、多次运行,省去了解析优化等过程。
MySQL预编译
J_M_S_H_T的博客
03-16 505
一、三个阶段: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 二、预编译出现的原因   1、很多情况下,一条SQL语句可能会反复执行,或者每次执行的时候只有个别的值不同   2、比如query的where条件的值不同,update的set的值不同,insert的values值不同,都会造成SQL语句的不同。   3、每次因为这些值的不同就进行词法...
探究mysql预编译
chaoge的it成长之路
04-15 219
一.背景: 用Mybatis+mysql的架构做开发,大家都知道,Mybatis内置参数,形如#{xxx}的,均采用了sql预编译的形式,举例如下: &lt;select id=”aaa” parameterType=”int” returnType=”Blog”&gt; select * from blog where id = #{id} ...
sql 预编译 & 防止sql注入
梦~'
10-10 3996
参考简书/知乎 大神回答,并截取了个人认为的重点内容: 1.SQL预编译 2.数据库预编译为何能防止SQL注入 一、sql预编译: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。多数情况下,相同的sql语句可能只是传入参数不同(如where条件后的值不同...)。 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。所以预编译的优势就体现出来了。预编译语句被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相...
mysql关于预编译sql的命令及含义
05-31
MySQL预编译SQL语句的命令是"PREPARE",其含义是将一个SQL语句进行预编译,以便在后续执行中可以重复使用该SQL语句,提高执行效率。 预编译SQL语句的语法如下: ``` PREPARE statement_name FROM sql_statement; ``` 其中,statement_name为自定义的语句名称,sql_statement为需要预编译SQL语句。 执行完上述语句后,可以使用"EXECUTE"命令来执行该预编译SQL语句,语法如下: ``` EXECUTE statement_name; ``` 执行完后,可以使用"DEALLOCATE PREPARE"命令释放该预编译SQL语句,语法如下: ``` DEALLOCATE PREPARE statement_name; ``` 需要注意的是,在使用预编译SQL语句时,可以在SQL语句中使用参数占位符,语法为"?",在执行预编译SQL语句时,可以将参数值作为参数传递给预编译SQL语句。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值