占位符是如何防止sql注入的?

最新推荐文章于 2023-09-15 11:16:13 发布
最新推荐文章于 2023-09-15 11:16:13 发布
阅读量2.8k 收藏 1
点赞数
文章标签: pdo 占位符

作者:eechen
链接:https://www.zhihu.com/question/43581628/answer/153629026
来源:知乎
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。
 

因为prepare是把SQL模板发给MySQL编译,然后execute是把用户输入的参数交给MySQL套模板执行.PHP模拟预处理的意思就是数据库并不会有编译模板这一步,而是PHP自动转义用户输入的参数,相当于手动调用mysqli_real_escape_string($_GET['id']) 或 PDO::quote($_GET['id']),比如PHP的一个Query Builder库medoo.php用的就是PDO::quote转义用户输入的参数后query执行SQL.

WireShark里用tcp.port==3306过滤分析PHP和MySQL通信可见:

 

但并非所有数据库都支持预处理,像SQLite就不支持.
所以PHP提供了模拟预处理(默认开启),其本质是转义用户输入,相关函数是:
PDO::quote和mysqli_real_escape_string.
在模拟预处理下,绑定参数(bindParam/bind_param)本质也是转义,而非SQL模板和参数分离.

安全的转义依赖统一的编码:
http://php.net/mysqli_real_escape_string
http://php.net/manual/zh/mysqlinfo.concepts.charset.php
MySQLi中需要先用 $mysqli->set_charset('utf8') 定义字符集后,
才能确保 $mysqli->real_escape_string() 能够安全正确转义用户输入的字符串.
PDO_MySQL中需要在PDO()中用 charset=utf8 定义字符集后,
才能确保 PDO::quote() 能够安全正确转义用户输入的字符串.
PHP模拟预处理时,PDO的bindParam/bindValue/execute转义时底层用的应该也是PDO::quote().

嘿丶单炒饭
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
关于防止sql注入的几个知识点
12-14
1.PDO预处理是。   你可以把他看成是要运行的sql的已经编译过的模板,它可以用变量参数进行定制   它有两个显著优点:   1.1:查询仅需解析一次,但可以用相同或者不同参数执行多次。换句话说如果要以不同的参数执行同样的语句执行多次,利用PDO可以大大降低应用程序的速度。   1.2:提供给预处理的语句不需要携带引号,所以可以有效防止sql的注入。但是如果查询的其他部分是由未转义的输入来构建的,则仍存在sql注入的风险。   1.3:另外pdo预处理无效的地方:   1.3.1:limit语句   1.3.2:like%?%.不能这么使用,占位符必须代表整个字符。所以可以这
如何防止sql注入
12-14
使用PreparedStatement是防止SQL注入的最佳实践之一。预编译语句将SQL模板和参数分开处理,使得恶意输入无法改变语句结构。例如,使用预编译的SQL语句时,即使用户输入了特殊字符或恶意字符串,也不会导致SQL语句的...
使用占位符预防SQL注入的原理
weixin_34253539的博客
10-20 740
2019独角兽企业重金招聘Python工程师标准>>> ...
mysql占位符 防注入_mybatis是如何防止SQL注入的(转)
weixin_28946193的博客
02-02 949
select id, username, password, role from user where username = #{username,jdbcType=VARCHAR} and password = #{password,jdbcType=VARCHAR} select id, username, password, role from user where username = $...
mysql占位符 防注入_为什么占位符可以防止sql注入
weixin_33232550的博客
01-20 276
public void setString(int parameterIndex, String x) throwsSQLException {//if the passed string is null, then set this column to nullif (x == null) {setNull(parameterIndex, Types.CHAR);}else{StringBuff...
占位符防止sql注入
恒之传说
03-20 3370
防止sql注入方式: 在sql中使用? String sql= "SELECT * FORM emp where ENAME=?"; PreparedStatement ps = connect.preparedStatement(sql); ps.setString(1,'KING'); ResultSet rs = ps.executeQuery(); sql中使用?赋给值
使用Python防止SQL注入攻击的实现示例
09-16
### 使用Python防止SQL注入攻击的实现示例 #### 文章背景与重要性 随着网络技术的发展,Web应用程序的安全性越来越受到人们的重视。开放式Web应用程序安全项目(OWASP)每几年都会发布一次关于Web应用程序最常见...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
这里的`queryForObject`方法接受一个预编译的SQL语句,将参数`id`作为占位符的值,而不是直接拼接到SQL字符串中。 2. 使用Spring Data JPA:Spring Data JPA是基于JPA(Java Persistence API)的,它提供了一种声明...
mybatis防止SQL注入的方法实例详解
08-27
预编译语句是防止 SQL 注入的第一种方式。预编译语句在执行时会把 SQL 语句事先编译好,这样当执行时仅仅需要用传入的参数替换掉?占位符即可。例如: ```java Connection conn = getConn();//获得连接 String sql ...
Python中防止sql注入的方法详解
09-21
预编译SQL语句是防止SQL注入的一种有效方法。它允许你在编写SQL语句时保留占位符,然后将实际的参数值传递给这些占位符。Python中的数据库API通常支持这种方式。 **示例代码**: ```python import MySQLdb class ...
为什么占位符可以防止sql注入
weixin_30949361的博客
11-25 413
引用自:http://www.cnblogs.com/greatfish/p/6067849.html 先看下面用占位符来查询的一句话 String sql = "select * from administrator where adminname=?";psm = con.prepareStatement(sql);String s_name ="zhangsan'or'1'=...
mysql占位符 防注入_PyMySQL防止SQL注入
weixin_42107491的博客
01-21 450
一、SQL注入简介SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。二、SQL注入攻击的总体思路1.寻找到SQL注入的位置2.判断服务器类型和后台数据库类型3.针对不通的服务器和数据库特点进行SQL注入攻击三、SQL注入攻击实例1、字符串拼接查询,造成注入importpymysqlconn= p...
php sql防注入占位符,在PHP中该怎样防止SQL注入
weixin_39806413的博客
03-18 154
在PHP中该怎样防止SQL注入防止其他的程序侵入自己的网站几乎是网站开发者需要考虑的,以下是百分网小编精心为大家整理的简述在PHP中该怎样防止SQL注入,希望对大家有所帮助!更多内容请关注应届毕业生网!问题描述:如果用户输入的数据在未经处理的情况下插入到一条SQL查询语句,那么应用将很可能遭受到SQL注入攻击,正如下面的例子:123$unsafe_variable=$_POST['user_inp...
ibatis 防止SQL注入占位符的注入
java developer
08-26 158
[b]SQL注入:[/b] 如果用户执行 select * from product where id = 5 这条语句。其中5是有用户输入的。 SQL注入的含义就是,一些捣蛋用户输入的不是5,而是 5; delete from orders 那么原来的SQL语句将会变为, select * from product where id=5; delete from ...
sql注入原理及防范方式
拾忆的博客
08-16 2562
前言         sql注入是一种危险系数较高的攻击方式,现在由于我们持久层框架越来越多,大部分框架会处理这个问题,因此导致我们对它的关注度越来越少了。最近部门在整理安全漏洞时,提到了一些关于sql注入的修改点,因此共同记录学习一下。 正文 原理         sql注入的原理是将sql代码伪装到输入参数中,传递...
【运维】mybatis中#{}防止SQL注入
weixin_37543485的博客
09-15 593
是一个强大的工具,可以帮助您构建安全的SQL查询,防止SQL注入攻击。确保在使用MyBatis时,始终使用占位符来代替直接将用户输入嵌入到SQL查询中,以增强应用程序的安全性。同时,确保在应用程序层面上对用户输入进行验证和过滤,以提供额外的安全层。占位符来构建SQL查询可以有效防止SQL注入攻击。这是因为MyBatis会将。用于查询用户名,MyBatis会自动处理。参数值,以防止SQL注入攻击。在MyBatis中,使用。总之,MyBatis的。
sql-为什么占位符可以防止sql注入
登峰小蚁
04-27 6774
为什么占位可以防止sql注入,不从什么预编译的角度来将,直接上源码,下面是mysql jar包中的setString方法。以select * from user where id = ?语句为例,传入1 or 1=1 ,如果是最后sql为select * from user where id = 1 or 1=1,那么显然会查出所有的数据,但实际没有,为什么?因为传入的参数经过下面的处理,会在前后...
防止SQL注入攻击的10种有效方法
热门推荐
qq_28245087的博客
06-29 4万+
本文介绍了10种防止SQL注入攻击的方法,包括使用参数化查询、输入验证和过滤、存储过程、最小权限原则、ORM框架、准备语句、安全的数据库连接、避免动态拼接SQL语句、使用防火墙和入侵检测系统以及定期更新和维护数据库软件。输入验证和过滤是一种用于确保用户输入数据的安全性和有效性的技术。需要注意的是,具体的代码实现可能因使用的数据库驱动库而有所不同,但核心思想是相同的:使用PreparedStatement来执行参数化查询,将用户输入作为参数传递给查询,而不是直接拼接到查询字符串中,以提高应用程序的安全性。
SQL 注入问题的解决(PreparedStatement)
一切随缘的博客
11-19 8376
上篇博客结尾提到了代码的不足:存在SQL注入问题。下面演示一下什么是SQL,注入问题。(就拿上篇的代码举个例子)以上为正常现象,但有些“不法分子”抓住了代码的漏洞,干了一些不为人知的事情。What!竟然登录成功了!发生了甚么?让我们Debug一下,一探究竟。‘1’='1’为true,从而导致了整个柿子返回结果为true。
预编译语句如何帮助防止SQL注入
最新发布
08-23
预编译语句(Prepared Statements)是一种数据库操作方式,它在发送 SQL 语句到数据库服务器之前先将其结构(即语法部分)固定下来,而将参数作为独立的数据单元传递。这样做的好处在于: 1. **参数化绑定**:预编译的 SQL 使用问号(?)或占位符形式表示变量,然后在执行时明确指定每个参数的实际值。这种方法使得数据库引擎能够识别并安全地处理参数,而不是将它们解释为SQL的一部分,因此有效防止SQL注入攻击。 2. **自动转义**:因为参数是在查询之外设置的,所以数据库系统通常会自动对这些值进行转义,以防恶意用户的SQL命令修改。 3. **性能优化**:预编译语句只需编译一次,后续多次执行只需提交参数,无需每次都编译,提高了效率。 4. **防止SQL注入漏洞**:不论用户输入什么样的数据,只要保持其格式不变,就能确保查询的完整性,降低了被恶意利用的风险。 总之,预编译语句通过参数化的方式,有效地保护了应用程序免受SQL注入的威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值