[20][04][20] SQL 预编译防止 SQL 注入

最新推荐文章于 2023-10-22 01:05:05 发布
最新推荐文章于 2023-10-22 01:05:05 发布
阅读量2.8k 收藏
点赞数
分类专栏: 信息安全 文章标签: 信息安全 SQL注入 预编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57672329/article/details/122414629
版权

文章目录

1. 预编译的作用

1.1 提高效率

数据库接受到 sql 语句之后,需要进行词法和语法解析校验,优化 sql 语句,制定执行计划.这需要花费一些时间.但是很多情况,我们的一条 sql 语句可能会反复执行,或者每次执行的时候只有个别的值不同 (比如 query 的 where 子句值不同,update 的 set 子句值不同,insert 的 values 值不同)

select id, name, age, address from t_user where name=? and age > ?

这个 sql 语句整体结构是不会改变的,只是 name 和 age 的值会变动, 每次都经历数据库的步骤, 影响效率, 为了解决上面的问题,于是就有了预编译,预编译语句就是将这类语句中的值用占位符替代,可以视为将 sql 语句模板化或者说参数化.一次编译,多次运行,省去了解析优化等过程

预编译语句被数据库的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句就不需要编译,只要将参数直接传入编译过的语句执行代码中 (相当于一个涵数) 就会得到执行.并不是所以预编译语句都一定会被缓存,数据库本身会用一种策略 (内部机制)

预编译的实现方法是通过 PreparedStatement 和占位符来实现的

1.2 防止 SQL 注入

使用预编译后,其后注入的参数将不会再进行 SQL 编译.也就是说其后注入进来的参数系统将不会认为它会是一条 SQL 语句,而默认其是一个参数,参数中的 or 或者 and 等就不是 SQL 语法保留字了

2. 预编译的实现原理

2.1 mysql 的预编译

开启了预编译缓存后,connection 之间,预编译的结果是独立的,是无法共享的,一个 connection 无法得到另外一个 connection 的预编译缓存结果.经过试验,mysql 的预编译功能对性能影响不大,但在 jdbc 中使用 PreparedStatement 是必要的,可以有效地防止 sql 注入.相同 PreparedStatement 的对象,可以不用开启预编译缓存

conn = DriverManager.getConnection("jdbc:mysql://localhost:3306/prepare_stmt_test?user=root&password=root&useServerPrepStmts=true");  
PreparedStatement stmt = conn.prepareStatement("select id, name, age, address from t_user where name=?");  
stmt.setString(1, "aaa");  
ResultSet rs1 = stmt.executeQuery();//第一次执行  
s1.close();  
stmt.setString(1, "ddd");  
ResultSet rs2 = stmt.executeQuery();//第二次执行  
rs2.close();  
stmt.close(); 
//查看mysql日志
Prepare          select id, name, age, address where t_user where name= ?
Execute          select id, name, age, address where t_user where name= 'aaa'
Execute          select id, name, age, address where t_user where name= 'ddd'

mysql 只编译了一次 SQL

2.2 mybatis 是如何实现预编译

mybatis 默认情况下,将对所有的 sql 进行预编译.mybatis 底层使用 PreparedStatement,过程是先将带有占位符 (即"?") 的 sql 模板发送至 mysql 服务器,由服务器对此无参数的 sql 进行编译后,将编译结果缓存,然后直接执行带有真实参数的 sql.核心是通过 #{} 实现的

在预编译之前,#{} 解析为一个 JDBC 预编译语句 (prepared statement) 的参数标记符 ?

// sqlMap 中如下的 sql 语句
select id, name, age, address from t_user where name = #{name};

// 解析成为预编译语句
select id, name, age, address from t_user where name = ?;

如果${ },SQL 解析阶段将会进行变量替换.不能实现预编译

select id, name, age, address from t_user where name like '%${name}%'

// 传递的参数为 "ruhua" 时,解析为如下,然后发送数据库服务器进行编译
select id, name, age, address from t_user where name like '%ruhua%';
安全新司机
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
预编译SQL防止SQL注入
shengyin714959的博客
12-09 1340
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 中占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。当我们通过 JDBC 使用执行预编译 SQL 的时候,此处的预编译实际上是假的预编译(至少 MySQL 是如此,不过其他数据库仍待确认),
mybatis防止SQL注入的方法实例详解
08-27
预编译语句是防止 SQL 注入的第一种方式。预编译语句在执行时会把 SQL 语句事先编译好,这样当执行时仅仅需要用传入的参数替换掉?占位符即可。例如: ```java Connection conn = getConn();//获得连接 String sql ...
SQL预编译-防止sql注入
m0_37695902的博客
06-09 4029
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
防止sql注入方法之预编译
波波豆奶
06-08 1026
PreparedStatement的预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存中以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其中Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
使用预编译语句是预SQL注入的最佳方式
iteye_11305的博客
01-08 3515
sql预编译 定义 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 为什么需要预编译 JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译 预编译阶段可以优化 sql 的执行。 预编译之后的 sql 多数情况下可以直接执行,DB...
JDBC-03-笔记
qq_24410589的博客
05-31 120
SQL注入攻击(PreparedStatement) 1. sql注入攻击的演示 2.sql注入攻击的原理 3. PreparedStatement的介绍 4. PreparedStatement的使用 5. 使用PreparedStatement优化student表的CRUD
Mybatis防止sql注入的实例
08-30
Mybatis防止sql注入的实例 Mybatis框架作为一款半自动化的持久层框架,其sql语句都要我们自己来手动编写,这个时候当然需要防止sql注入防止sql注入的方法有很多,例如将sql语句全部替换为存储过程的方式,但这种...
参数化查询为什么能够防止SQL注入
03-01
很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。首先:我们要了解SQL收到...
有效防止SQL注入的5种方法总结
09-09
以下是对防止SQL注入的五种方法的详细说明: 1. 使用参数化查询(PreparedStatement) 参数化查询是预SQL注入最有效的方法之一。在Java中,可以使用PreparedStatement对象来执行预编译SQL语句。预编译SQL...
Hibernate使用中防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
预编译sql处理(防止sql注入)
LFSenior
05-20 6617
1. 预编译sql处理(防止sql注入) -- 创建数据库 CREATE DATABASE jdbc_demo DEFAULT CHARACTER SET utf8;i -- 创建表 USE jdbc_demo; CREATE TABLE admin(     id INT PRIMARY KEY AUTO_INCREMENT,     userName VARCHA
预编译sql注入
scheme2008的专栏
11-03 295
prepareStatement会先初始化SQL,先把这个SQL提交到数据库中进行预处理,多次使用可提高效率。 createStatement不会初始化,没有预处理,没次都是从0开始执行SQL 以Oracle为例吧 Statement为一条Sql语句生成执行计划, 如果要执行两条sql语句 select colume from table where colume=1; sele...
web安全开发 - 预编译防止sql注入
davidchang365的专栏
10-23 411
SQL注入是常见的WEB攻击,百度百科上的解释是: “所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。” 举个例子: 使用用户名和密码登陆网站时,用户名填入 123' or 1=1# ,密码也类似 123' or 1=1# 。这时,攻击者是猜测后台的sql命令可能是: SELECT * FROM users ...
利用预编译技术SQL注入
sangfor_edu的博客
10-28 2682
预编译又称为预处理,顾名思义,就是为代码编译做的预备工作。预编译指令指示了在程序正式编译前就由编译器进行的操作,可以放在程序中的任何位置。对于数据库来说,通常一条SQL语句从传入到执行经历了以下过程:(1)词法和语义解析优化;(2)制定执行计划;(3)执行并返回结果。这种普通语句称为Immediate Statements。
【開山安全笔记】预编译是如何阻止sql注入
開山安全,無限进步
10-22 884
语法树的建立?模糊查询又如何实现预编译
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
热门推荐
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入
利用预编译SQL注入
m0_51428325的博客
12-26 903
在做CTF时遇到这样一个题目,注入点过滤了SELECT和.还有WHERE等关键词,但是支持多语句查询,这样是可以看到库名列名的,利用如下的方式: id=1';show tables;%23 但是没法查询字段,于是就可以利用构建预编译语句来绕过过滤。 利用此方法的前提是支持多语句查询。 先来谈谈什么叫预编译,实际上它经常被用来防止SQL注入,介于SQL注入的根本原理是未将数据与代码有效区分开,预编译的目的就在于解决这一点。 我们常见的有关防止SQL注入预编译手段都是基于后端代码的,即PHP或J
JDBC | 第三章: SQL预编译注入CRUD操作
qq_39449880的博客
02-14 1767
SQL预编译注入CRUD操作
预编译SQL注入
weixin_50968698的博客
09-23 953
预编译SQL注入
预编译防止sql注入
最新发布
04-12
预编译是一种常用的防止SQL注入攻击的方法。它通过将SQL查询语句和参数分开处理,使得参数值不会被解释为SQL代码的一部分,从而有效地防止SQL注入攻击。 在使用预编译的过程中,首先需要创建一个带有占位符的SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值