mysql预编译防止注入_预编译为什么可以防止sql注入

最新推荐文章于 2024-04-21 10:28:55 发布
最新推荐文章于 2024-04-21 10:28:55 发布
阅读量954 收藏 3
点赞数 3
文章标签: mysql预编译防止注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42530732/article/details/113472188
版权

预编译可以防止sql注入的原因:进行预编译之后,sql语句已经被数据库分析,编译和优化了,并且允许数据库以参数化的形式进行查询,所以即使有敏感字符数据库也会当做属性值来处理而不是sql指令了

cd1070419079b8c0e0433270a13f13ee.png

大家都知道,java中JDBC中,有个预处理功能,这个功能一大优势就是能提高执行速度尤其是多次操作数据库的情况,再一个优势就是预防SQL注入,严格的说,应该是预防绝大多数的SQL注入。

用法就是如下边所示:String sql="update cz_zj_directpayment dp"+

"set dp.projectid = ? where dp.payid= ?";

try {

PreparedStatement pset_f = conn.prepareStatement(sql);

pset_f.setString(1,inds[j]);

pset_f.setString(2,id);

pset_f.executeUpdate(sql_update);

}catch(Exception e){

//e.printStackTrace();

logger.error(e.message());

}

那为什么它这样处理就能预防SQL注入提高安全性呢?其实是因为SQL语句在程序运行前已经进行了预编译,在程序运行时第一次操作数据库之前,SQL语句已经被数据库分析,编译和优化,对应的执行计划也会缓存下来并允许数据库以参数化的形式进行查询,当运行时动态地把参数传给PreprareStatement时,即使参数里有敏感字符如 or '1=1'也数据库会作为一个参数一个字段的属性值来处理而不会作为一个SQL指令,如此,就起到了SQL注入的作用了!

失眠数羊
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql预编译防止注入_预处理(防止sql注入的一种方式)
weixin_36480576的博客
02-02 1019
/*防止 sql 注入的两种方式:1. 人为提高代码的逻辑性,使其变得更严谨,滴水不漏。 比如说 增加判断条件,增加输入过滤等,但是智者千虑必有一失。(不推荐)2. sql 语句的预处理*/// 预处理: 就是在程序正式编译之前,事先处理,因为有些功能实现是一样的,只是发生了一些简单的值替换/*********** 预处理的原理: *********insert into register_i...
MySQL预编译功能详解
12-16
- **防止SQL注入**:使用预编译的PreparedStatement接口,参数被作为单独的值处理,而不是作为字符串的一部分,这提高了安全性,有效阻止了SQL注入攻击。 2. **MySQL执行预编译的步骤** - **预编译语句**:用户...
预编译以及为什么预编译可以防止sql注入
weixin_44717588的博客
03-15 4328
预编译 什么是预编译? 预编译就是做一些代码文本的替换工作,是整个编译过程最先做的事情. 比如有一个语句: 我可真是太##了! 预编译就是对#进行替换,我换成漂亮,则变成:我可真是太漂亮了! 其实就是在代码运行之前,对代码进行一些处理. 为什么预编译能够防止sql注入? 我们先来看一个例子,通俗的理解一下预编译注入: 使用sql拼接:"select * from user where username = ’ " + name + " ’ "; 页面上可能会有个输入框:用户名:______________
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解_预编译防止sql注入
最新发布
m0_62289824的博客
04-21 860
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间。模拟预编译则用于那些不支持预编译的数据库,本质上是在底层先对用户的输入进行转译,再对SQL语句进行拼接,然后把完整的SQL语句发给数据库执行。正常情况下,用户输入的参数会直接参与SQL语法的编译,而预编译则是先构建语法树,确定SQL语法结构以后,再拼接用户的参数。从注入的过程中我们可以发现,SQL注入的核心是:用户输入的参数改变了SQL的语法结构。
数据库预编译为什么能防止SQL注入呢?
热门推荐
weixin_45179130的博客
06-04 1万+
要回答这个问题,我们要知道怎么进行的SQL注入,所谓知己知彼,方能百战百胜。 什么是SQL注入?? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或页面请求url的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不...
为什么说Mysql预处理可以防止SQL注入
weixin_30482383的博客
11-12 876
简单点理解:prepareStatement会形成参数化的查询,例如:1select * from A where tablename.id = ?传入参数'1;select * from B'如果不经过prepareStatement,会形成下面语句:1select * from A where tablename.id = 1;select * from B这样等于两次执行,但如果经过预处理,...
一文搞懂MySQL预编译
09-08
MySQL预编译是一种提高数据库操作效率的技术,尤其在处理大量重复SQL语句时效果显著。预编译的主要目的是减少语法检查和编译的开销,从而提升数据库的性能。本文将深入探讨MySQL预编译的概念、好处、执行过程以及...
node-mysql防止SQL注入的方法总结
09-09
- **使用预编译语句(PreparedStatement)**:虽然`node-mysql`不直接支持预编译语句,但可以借助如`mysql2`库来实现类似的功能,提高安全性。 - **对用户输入进行验证和清理**:在将数据提交到数据库之前,先检查和...
探讨php中防止SQL注入最好的方法是什么
10-27
预编译阶段,数据库服务器会解析并编译SQL模板,而参数是在执行阶段传递的。这意味着攻击者的输入只能被视为字符串,无法改变语句的结构。例如,即使用户输入`'sarah'; DELETE * FROM employees`,预处理语句只会...
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入
【開山安全笔记】预编译是如何阻止sql注入
開山安全,無限进步
10-22 889
语法树的建立?模糊查询又如何实现预编译
java sql预编译_Java中使用prepareStatement预编译为什么就可以防止sql注入了,具体原理是什么样的?...
weixin_32236881的博客
02-12 380
举个栗子,使用sql拼接:"select * from user where username = ' " + username + " ' ";页面上可能会有个输入框:用户名:________________________如果有人这么填:用户名:___hello'; delete from user where id='1__最终的Sql就是 "select * from user where...
mysql预编译还有办法注入么_数据库预编译为何能防止SQL注入
weixin_39956350的博客
02-07 240
Update一下,评论里我的回复可能是不正确的…在使用PreparedStatement执行SQL命令时,命令会带着占位符被数据库进行编译和解析,并放到命令缓冲区。然后,每当执行同一个PreparedStatement语句的时候,由于在缓冲区中可以发现预编译的命令,虽然会被再解析一次,但不会被再次编译。而SQL注入只对编译过程有破坏作用,执行阶段只是把输入串作为数据处理,不需要再对SQL语句进行解...
MySQL的SQL预编译及防SQL注入
ArtAndLife的博客
10-21 2494
1. SQL语句的执行处理: SQL的执行可大致分为下面两种模式: “Immediate Statements” VS “Prepared Staements” : 1.1 即时SQL: 动态的根据传入的参数拼接SQL语句并执行,一条语句经过MySQL server层分析器、优化器、执行器组件,分别进行词法、语义解析、优化SQL语句、选择索引、制定执行计划、执行并返回结果。 对SQL语句进行词法语义分析、优化SQL语句、选择索引、制定执行计划等一系列操作,称为 “对SQL语句的编译”。 如上,一条SQL
利用预编译技术防御SQL注入
sangfor_edu的博客
10-28 2684
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
浅析预编译防止SQL注入的原理
qq_44286009的博客
08-18 625
要理解防止SQL注入的原理,那么首先需要知道什么是SQL注入。百度百科对SQL注入的解释如下:对于理论,这里不作过多赘述,通过一个例子来说明什么是SQL注入。假如我们有一个登录页面,登录页面大致如下图所示。这个时候,用户正常登陆就是输入用户名和密码进行登录。我们大致写一个后台的登录逻辑(这里大家不必过于较真,实际项目的登录逻辑肯定与下面代码是有出入的,这里主要是为了对SQL注入进行一个简单的演示// 数据库连接信息try {// 加载驱动// 建立数据库连接。
为什么参数化SQL查询可以防止SQL注入?
u011277123的博客
12-16 2533
为什么参数化SQL查询可以防止SQL注入? 回答 关注 (4) 微博 微信 QQ空间 1个回答 专业喷MI 12-15 16:53 0赞 踩 1. 参数化预编译之所以能防御住SQL注入,只要是基于以下2点: 1) setString(): WEB程序接收字符串的场景 将用户输入的参数全部强制转换为字
mysql预编译sql
06-10
MySQL预编译SQL指的是在执行SQL语句之前,先将SQL语句编译成一个预编译语句,然后再将参数传递给这个预编译语句进行执行。这样可以提高SQL语句的执行效率,避免SQL注入等安全问题。 在MySQL中,可以使用PreparedStatement接口来实现预编译SQL。使用PreparedStatement时,首先需要调用Connection对象的prepareStatement方法来获取一个PreparedStatement对象,然后可以使用setXXX方法设置参数值,最后调用execute方法执行预编译语句。 例如,下面的代码片段演示了如何使用PreparedStatement来执行一条预编译SQL语句: ```java String sql = "SELECT * FROM user WHERE username = ? AND password = ?"; PreparedStatement stmt = conn.prepareStatement(sql); stmt.setString(1, "testuser"); stmt.setString(2, "testpassword"); ResultSet rs = stmt.executeQuery(); ``` 在上面的代码中,使用了"?"占位符来代替变化的参数值。然后通过PreparedStatement的setXXX方法来设置参数值,最后调用executeQuery方法来执行SQL语句。这样就可以实现预编译SQL的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值