用PreparedStatement 预编译的 SQL 就不会有被 SQL 注入的风险?

已于 2022-12-13 11:52:18 修改
阅读量641 收藏 1
点赞数
分类专栏: 运维分享 文章标签: sql 数据库 mysql
于 2022-12-07 22:02:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_71025747/article/details/128227769
版权

一、数据库预编译

当我们说到关于持久层框架的功能,必然需要先想想这个功能的源头到底是不是直接通过数据库提供的。实际上和事务一样,SQL 预编译的功能也是需要数据库提供底层支持的。

1、预编译SQL的用法

以 MySQL 为例,在 MySQL 中,所谓预编译其实是指先提交带占位符的 SQL 模板,然后为其指定一个 key,MySQL 先将其编译好,然后用户再拿着 key 和占位符对应的参数让 MySQL 去执行,用法有点像 python 中的 format 函数。

一个标准的预编译 SQL 的用法如下:

先通过 prepare 设置一个 SQL 模板,然后通过 execute 提交参数,MySQL 会自行根据参数替换占位符,到最后执行的 SQL 就是:

select * from s_user where username = '%王五'

2、预编译的原理

这里有个有意思问题,按网上的说法,prepare 执行的时候实际上 SQL 已经编译完了,所以可以防止注入,因为后续不管塞什么参数都不可能在调整语法树了,换个角度想,这是不是说明,如果我们一开始就让 prepare 执行的 SQL 模板的关键字变成占位符,是不是应该在这个时候就编译不通过?

比如,可以把查询的表名改成占位符:

实际上也确实不行,因为

了解本专栏 订阅专栏 解锁全文 超级会员免费看
数字化小李
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
现在SQL注入死透了吗?
2301_77147676的博客
03-30 1293
就算是有经验的程序员,在快速上线的压力下,也没有时间再去考虑信息安全的问题。1.预编译不能解决所有SQL注入:比如表名/列名/排序动态传入的场景,原因是这些地方不能预编译,因此很多人还是直接拼接的,且囿于对预编译的信赖,从外到里没有过滤。需要对所有的异常情况进行捕获,切记接口直接返回异常信息,因为有些异常信息中包含了sql信息,包括:库名,表名,字段名等。最后,其实我想说的是,就新开发的系统来说,SQL注入漏洞确实越来越少了,做到这一点的不是大家的安全意识增强,都知道使用预编译了,而是。
对于预编译防止sql注入的总结
m0_57713282的博客
05-30 1088
预编译实际上是简单的文本替换。也就是说带有占位符的sql语句,是事先在数据库进行编译的,最后把参数传给sql语句(参数化查询),来执行sql语句,前台用户输入的参数会被当作是sql的参数,进行执行sql语句 而 ...
防止sql注入方法之预编译
波波豆奶
06-08 1022
PreparedStatement预编译功能是指首先将SQL语句编译成可重复使用的预处理语句(PreparedStatement),然后将其保存在数据库服务器端的缓存中以备后续使用。当需要执行该SQL语句时,只需将具体参数传入预处理语句即可快速执行SQL语句,而无需每次都重新解析和编译SQL语句。(3)打开mysql.log,发现其中Prepare就是预编译SQL语句,Execute就是执行SQL语句。4.验证方法:通过日志文件来看一下预编译的效果(如果之前开启过日志可直接跳至(3))
预编译真的能完美防御SQL注入吗?
白天安全建设,晚上全栈开发,大模型爱好者。公众号:飞羽技术工坊。
01-05 801
在之前面试的时候,我还是太菜了,有一道面试题还是值得研究研究的。面试官问我,怎样完全避免sql注入?我想起了刚毕业时校招有一次也被问过一样的问题,当时我说的是:“基本上预编译就能解决了。”当时并没有对我提出质疑,所以我就一直以为预编译是无敌的,可以绝对防御sql注入。所以这次被问到,我依旧回答了预编译,不过这次面试官没有放我一马,开始对我进行追问:“有没有什么情况是预编译无法解决的?”我一听就知道完蛋了,自己才学疏浅终于还是掉坑里了,然后才意识到自己根本没有去深入研究过预编译。所以这次就想记录一下。
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
热门推荐
wangyuxiang946的博客
09-16 1万+
预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入
如何防止sql注入
12-14
使用存储过程可以限制应用程序的权限,只允许执行预定义的操作,从而降低SQL注入风险。存储过程内部处理输入,减少了直接在代码中拼接SQL的机会。 6. **限制数据库权限** 应用程序的数据库连接应具有最小权限,...
JDBC之PreparedStatement类中预编译的综合应用解析
09-05
PreparedStatement是Java JDBC中用于执行预编译SQL语句的接口,它是Statement的子接口。预编译SQL语句可以提高数据库操作的性能和安全性。在数据库系统中,预编译意味着SQL语句在首次执行前已经过编译,形成一个...
SQL注入原理以及Spring Boot如何防止SQL注入(含详细示例代码)
12-29
1. 参数化查询:使用预编译SQL语句(如PreparedStatement),将用户输入作为参数传递,而不是直接拼接到SQL字符串中。这样可以防止恶意代码改变SQL语句的结构。 2. 使用存储过程:通过存储过程与数据库交互,减少...
Hibernate使用中防止SQL注入的几种方案
01-20
- 使用预编译的PreparedStatement,即使在没有使用Hibernate的情况下,这也是防止SQL注入的推荐方式。 - 对用户输入进行验证和清理,限制输入长度,禁止特定字符,如单引号、分号等。 - 使用最新的数据库驱动和...
JDBC如何有效防止SQL注入
12-14
1. **预编译SQL语句(PreparedStatement)**: 使用`PreparedStatement`代替`Statement`是防止SQL注入的基本方法。预编译SQL语句将参数化查询与实际值分离,从而阻止恶意SQL代码注入。例如,而不是拼接字符串形成...
用PreparedStatement解决SQL注入问题
平安喜乐
02-27 858
使用PreparedStatement预编译SQL语句并执行,预防SQL注入问题。
Java防止SQL注入的一些途径
主题模板站的博客
01-31 2217
java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为PreparedStatement不允许在不同的插入时间改变查询的逻辑结构 ,大部分的SQL注入已经挡住了, 在WEB层我们可以过滤用户的输入来防止SQL注入比如用Filter来过滤全局的表单参数。35 //TODO这里发现sql注入代码的业务逻辑代码。
为什么SQL预编译可以防止SQL注入攻击
IT部落格
09-27 479
防范SQL注入攻击是每一位做后端开发的程序员必须会的基本功。本文介绍其中一种防范攻击的方法:SQL预编译
为啥预编译SQL能够防止SQL注入
ma_nong33的博客
03-04 1278
回顾一下全文,当我们说“预编译”的时候,其实这个功能来自于数据库的支持,它的原理是先编译带有占位符的 SQL 模板,然后在传入参数让数据库自动替换 SQL 中占位符并执行,在这个过程中,由于预编译好的 SQL 模板本身语法已经定死,因此后续所有参数都会被视为不可执行的非 SQL 片段被转义,因此能够防止 SQL 注入。作为条件的字段有哪些?在默认情况下是假的“预编译”,它只不过在设置参数的时候帮我们对参数做了一下转义,但是最后发送到数据库的依然是普通的 SQL,而不是按预编译 SQL 的方式去执行。
预编译防止sql注入的简单理解
weixin_45983964的博客
05-12 570
网上看了一下预编译为什么能够防止sql注入,大部分都是套话。在浏览的时候发现了一句话,让我醍醐灌顶。是这样说的,是把用户输入的值当做该字段的属性。可能是我说法的问题,但大概意思就是: 如果我们没有做预编译的话,那么用户输入的值就会和该sql语句一起编译执行,那么用户输入的sql注入的语句也会被当做正常的语句进行执行。 如果我们利用了预编译的话,用户输入的值就会变成我们需要填充的一个字段,比如用户和密码这里。如果我们使用预编译,不管用户输入的是什么?我们也只会把输入的当做字符串填充到用户字段和密码字段下进行查
【面经】预编译为什么可以防止sql注入,mybatis是如何预防的
weixin_45525005的博客
08-20 1471
安全工程师一面遇到的问题: 1、sql注入怎么防御? 答:sql语句预编译 为什么预编译能防止sql注入? 吐血!!平时只记着sql注入的防御方法是预编译,没想到问这个还答不上来。 赶紧补一补,下面是我的个人理解,如有哪里写的不对 ,恳请各位大牛斧正。 首先我们要知道执行一条sql命令的过程: 一条sql语句的执行需要经过语义解析,制定执行计划,执行并返回结果。 预编译是指把要执行的sql语句先进行一个解析,解析语法以及确定查询范围还有查找的返回结果类型,就是确...
SQL预编译-防止sql注入
m0_37695902的博客
06-09 4028
1.数据库预编译起源 (1)数据库SQL语句编译特性: 数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。 (2)减少编译的方法 如果每次都需要经过上面的词法语义解析、语句优化、制定执行计划等,则效率就明显不行了。为了解决上面的问题,于是就有了预编译预编译语句就是将这类
编译预处理机制(SQL注入问题解决原理)
lf1949的博客
03-24 2552
编译预处理预编译内容讲解及代码展示 预编译 首先,什么时编译预处理机制? 字面理解就是预先进行编译 那么,预编译处理机制有什么用? 可以解决SQL注入问题 那么,问题又来了,什么是sql注入呢? 简单来说就是应用程序没有对用户输入数据进行校验或者过滤不严格 内容讲解及代码展示 了解什么时预编译sql注入,在这里我用jdbc实现用户登录原理来给大家讲解预编译sql注入 大家可以预先了解 jdbc上手(上) jdbc上手(下) 首先,先回顾一下jdbc步骤 加载连接数据库驱动 与数据库建立连接
使用预编译语句是预防SQL注入的最佳方式
iteye_11305的博客
01-08 3514
sql预编译 定义 sql 预编译指的是数据库驱动在发送 sql 语句和参数给 DBMS 之前对 sql 语句进行编译,这样 DBMS 执行 sql 时,就不需要重新编译。 为什么需要预编译 JDBC 中使用对象 PreparedStatement 来抽象预编译语句,使用预编译 预编译阶段可以优化 sql 的执行。 预编译之后的 sql 多数情况下可以直接执行,DB...
PreparedStatement预编译无法用?占位符替换表名和字段名
最新发布
04-29
PreparedStatement是Java中用于执行预编译SQL语句的接口,它可以提高数据库操作的性能和安全性。然而,PreparedStatement的占位符(?)只能用于替换值,而不能用于替换表名和字段名。 这是因为表名和字段名是SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数字化小李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值