ado的mysql参数化_mysql – SQL参数化:这是如何在幕后工作的?

最新推荐文章于 2021-03-03 16:04:24 发布
最新推荐文章于 2021-03-03 16:04:24 发布
阅读量103 收藏
点赞数
文章标签: ado的mysql参数化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34160181/article/details/114974022
版权

SQL参数化现在是一个热门话题,对于a good reason而言,除了正确地逃避之外它真的做了什么吗?

我可以想象一个参数化引擎只是在将数据插入查询字符串之前确保数据被正常转义,但这真的是它的全部功能吗?在连接中做一些不同的事情会更有意义,例如:像这样:

> Sent data. Formatting: length + space + payload

< Received data

-----

> 69 SELECT * FROM `users` WHERE `username` LIKE ? AND `creation_date` > ?

< Ok. Send parameter 1.

> 4 joe%

< Ok. Send parameter 2.

> 1 0

< Ok. Query result: [...]

这种方式可以简单地消除SQL注入的问题,因此您不必通过转义来避免它们.我可以想到参数化可能如何工作的唯一方法是通过转义参数:

// $params would usually be an argument, not in the code like this

$params = ['joe%', 0];

// Escape the values

foreach ($params as $key=>$value)

$params[$key] = mysql_real_escape_string($value);

// Foreach questionmark in the $query_string (another argument of the function),

// replace it with the escaped value.

$n = 0;

while ($pos = strpos($query_string, "?") !== false && $n < count($params)) {

// If it's numeric, don't use quotes around it.

$param = is_numeric($params[$n]) ? $params[$n] : "'" . $params[$n] . "'";

// Update the query string with the replaced question mark

$query_string = substr($query_string, 0, $pos) //or $pos-1? It's pseudocode...

. $param

. substr($query_string, $pos + 1);

$n++;

如果是后者,我现在还不打算将我的网站切换到参数化.它没有我能看到的优势,它只是另一个强大的弱变量输入讨论.强类型可能会在编译时捕获更多错误,但它并没有真正做出任何其他可能很难做到的事情 – 与此参数化相同. (如果我错了,请纠正我!)

更新:

>我知道这将取决于SQL服务器(以及客户端,但我认为客户端使用最好的技术),但大多数时候我都考虑过MySQL.关于其他数据库的答案虽然也欢迎.

>据我了解答案,参数化确实不仅仅是简单地转义数据.它实际上是以参数化方式发送到服务器的,因此将变量分开而不是作为单个查询字符串.

>这也使服务器能够存储和重用具有不同参数的查询,从而提供更好的性能.

我得到了一切吗?我仍然很好奇的一件事是MySQL是否具有这些功能,以及是否自动完成查询重用(如果没有,可以如何完成).

此外,请在有人阅读此更新时发表评论.我不确定它是否会碰到这个问题……

谢谢!

解决方法:

我确信您的命令和参数的处理方式会有所不同,具体取决于特定的数据库引擎和客户端库.

但是,根据SQL Server的经验,我可以告诉您,使用ADO.NET发送命令时会保留参数.他们没有被纳入声明.例如,如果您使用SQL事件探查器,您将看到一个远程过程调用,如:

exec sp_executesql N'INSERT INTO Test (Col1) VALUES (@p0)',N'@p0 nvarchar(4000)',@p0=N'p1'

请记住,除了防止SQL注入之外,参数化还有其他好处.例如,查询引擎更有可能为参数化查询重用查询计划,因为该语句始终相同(只是参数值更改).

响应更新:

查询参数化是如此常见,我希望MySQL(实际上是任何数据库引擎)能够类似地处理它.

基于MySQL协议文档,看起来使用COM_PREPARE和COM_EXECUTE数据包处理预处理语句,这些数据包支持二进制格式的单独参数.目前尚不清楚是否准备好所有参数化语句,但看起来没有准备好的语句由COM_QUERY处理,没有提及参数支持.

有疑问时:测试.如果您真的想知道通过线路发送了什么,请使用Wireshark等网络协议分析器查看数据包.

无论内部如何处理它以及它当前可能或不可能为给定引擎提供的任何优化,都可以从不使用参数中获得很少(没有?).

标签:mysql,sql,parameterized

来源: https://codeday.me/bug/20190716/1480416.html

大笼包不够吃
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用ado直接连接mysql_如何通过ADO接口连接数据库
weixin_28973627的博客
02-05 400
问题详述:ADO最主要的优点是易于使用、速度快、内存支出少和磁盘痕迹小。在关键的应用方案中使用最少的网络流量,并且在前端和数据源之间使用最少的层数,所以这些都是为了提供轻量、高性能接口。那么如何实现ADO连接数据库呢?如果对你有帮助的话,帮忙推荐同学朋友关注公众号,是小编最好的支持具体过程:首先需要一个ODBC数据源。然后用_ConnectionPtr对象打开数据库连接,_RecordsetPrt...
SqlServer:使用IN()子句C#进行参数化查询
04-07
标题中的“SqlServer:使用IN()子句C#进行参数化查询”指的是在SQL Server数据库中,使用C#编程语言来构建一个参数化的查询,该查询涉及到SQL的IN操作符。IN操作符允许我们在WHERE子句中指定一个值列表,查询满足...
mysql 参数化_MySQLsql参数化
weixin_30314045的博客
01-18 1614
奋斗的路上,时间总是过得很快,目前的困难和麻烦是很多,但是只要不忘初心,脚踏实地一步一步的朝着目标前进,最后的结局交给时间来定夺。周末了,我们来说说一下,sql语句参数化问题,为了避免sql注入的问题,我们把sql语句进行参数化,来增加数据库的安全性。词穷,先看看code吧!from MySQLdb import *'''sql数据参数化就是为了防止sql注入的'''#连接数据库coon =...
Mysql参数化操作
03-27 121
packagefuncs; importjava.sql.Connection; importjava.sql.DriverManager; importjava.sql.ResultSet; importjava.sql.SQLException; importjava.sql...
adomysql参数化_ADO.NET基础参数化SQL查询
weixin_42298415的博客
03-03 244
参数化查询(Parameterized Query )是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。下面将重点总结下Parameter构建的几种常用方法。说起参数化查询当然最主要的就是如何构造所谓的参数:比如,我们登陆时需要密码和用户名,...
ado-class.zip_ADO CLASS_ADO wrapper_ado+mysql_c++ ado sqlserver_
09-24
标题中的"ado-class.zip_ADO CLASS_ADO wrapper_ado+mysql_c++ ado sqlserver_"表明这是一个关于ADO封装类的项目,这个类库可能是用C++编写的,目的是为了简化使用ADO访问数据库的过程,特别是对MySQL、Access和SQL ...
ado.rar_C++ ADO oracle_ado mysql_ado oracle_mysql ado_oracle ADO
09-20
"ado_mysql"表示也有涉及与MySQL数据库的连接;"ado_oracle"和"mysql_ado"则再次强调了这两个数据库与ADO的结合。这些标签有助于快速理解压缩包内容的焦点。 "ADOConn.cpp"和"ADOConn.h"是两个关键的源代码文件。...
VB_MySQL_connectDB.rar_VB 数据库_vb ado_vb mysql_vb mysql ado_vb 访问
09-20
标题中的"VB_MySQL_connectDB.rar"是一个压缩包文件,它包含了使用VB(Visual Basic)编程语言通过ADO(ActiveX Data Objects)访问MySQL数据库的相关源代码。这个压缩包是针对初学者或开发者,帮助他们理解和实现...
ado_access.rar_mysql ado
09-24
在标题"ado_access.rar_mysql ado"中,"ado_access"指的是使用ADO来操作Access数据库,而"mysql ado"则暗示了我们可以通过相同的ADO接口来操作MySQL数据库。 **ADO在Access中的应用** Access数据库是一个基于文件的...
MFC使用ADO连接MySQL的例子
04-30
MFC使用ADO连接MySQL的例子,实现登录注册,适用基础知识练习
MySql参数化模糊查询
weixin_44513361的博客
02-14 1797
今天在做mysql模糊查询的时候碰到一些问题,利用参数化的时候会使语法不正确, 仅供个人参考 之前的错误代码 public Pageing&amp;lt;List&amp;lt;College&amp;gt;&amp;gt; GetCollegeList(string CollegeName, int PageIndex, int PageSize) { Pageing&amp;lt;List&amp;lt;College&amp;g
mysql sql语句参数化_参数化SQL语句
weixin_34891129的博客
01-27 1181
避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,不过这种做法有时候针对相同的几个表有不同条件的查询,SQL语句可能不同,这样就会编写大量的存储过程,所以有人提出了第二种方案:参数化SQL语句。例如我们在本篇中创建的表UserInfo中查找所有女性用户,那么通常情况下我们的...
udl 连mysql_使用ADO直接连Mysql ,不经过ODBC | 学步园
weixin_29150151的博客
12-28 233
这几天在封装数据库类需要连接数据库一开始使用mysql的api函数,实现,可是每增加一个表都需要修改封装类,每增加一个表需要增加一组对应的函数,如get***,insert** update** 等等 ,认为比较麻烦。又找啊找,终于找到了另外一种封装的方法,封装类不修改,每增加一个表需要增加一个类。其实每个类里面也是get*** insert***, update*** 之类的方法。不知道这两...
避免SQL注入,使用ADO.NET参数化查询
HongfeiAn
10-26 459
using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Threading.Tasks; using...
php 下进行mysql参数化查询
Dexter's Laboratory
02-24 2391
记录一下,php下的mysql参数化查询 [php] view plain $query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",                      mysql_real_escape_string($Username),
参数化查询原理
王如霜
02-08 6440
机房重构敲组合查询时,会遇到多个操作符(+、-、*、/),因为之前在使用参数化查询时只要遇到给数据库赋值时就使用参数,(光知道这样能防止SQL注入,直到如今才知道它为什么能防止SQL注入)索性就把操作符也用成参数,但这时就报“语法错误”了,可是解决了很长时间,老以为是sql语句写错了(自我认为是那种丢掉一个空格或引号之类的错误),其实是没真正理解之前听到到“防SQL注入”的原理,或是说为什么能“防
C++ 封装ADO实现参数化SQLserver的增删查改
最新发布
06-03
接下来,我们来看一下如何使用C++封装ADO来实现参数化SQL Server的增删查改。 1. 引入头文件和命名空间 首先,我们需要引入头文件和命名空间。头文件包括和<ado.h>,命名空间为ADODB。代码如下: ```cpp #include...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值