MySQL的预编译语句的转义探究

最新推荐文章于 2023-10-21 16:46:39 发布
最新推荐文章于 2023-10-21 16:46:39 发布
阅读量2.7k 收藏 7
点赞数 3
分类专栏: mysql 文章标签: mysql 预编译
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanghuan313/article/details/70477360
版权

0x00 什么是预编译语句

SQL语句,说到底也是一种类似于编程语言的东西,目的是让程序员更友好的操纵数据库,既然这样,它肯定也存在一个SQL语句的编译过程,将其转化为数据库所能执行的命令。顾名思义,预编译语句就是将需要执行SQL语句预先进行编译后缓存起来,下次使用的时候直接越过了编译这步,理论上是会比普通的SQL查询拥有更好的性能。我这里的重点不是关注它的性能,而是大家都说,预编译可以防止SQL注入,事实是怎样的呢?我们平时说的参数化查询,又是怎么一回事?

0x01 搭建环境

我们需要了解应用程序和数据库交互时,一些支持预编译的模块(如PreparedStatement)进行了怎样的处理,数据库收到的究竟是怎样的数据。我们通过两种方式来观察传递结果:开启MySQL的日志记录用wireshark抓包

首先,打开MySQL的日志记录:
这里遇到了一点小坑,寻找my.ini配置文件的时候,以为位置是在默认安装根目录下(C:\Program Files\MySQL\MySQL Server 5.7),结果发现并没有。查看文档,说依照以下顺序搜索配置文件:

%PROGRAMDATA%\MySQL\MySQL Server 5.7\my.ini
%PROGRAMDATA%\MySQL\MySQL Server 5.7\my.cnf
%WINDIR%\my.ini
%WINDIR%\my.cnf
C:\my.ini
C:\my.cnf
......

我在cmd里 echo %PROGRAMDATA%,结果输出的是:

这里写图片描述

接下来找到my.ini ,在 [mysqld]中修改以下两个参数:

...
general-log=1   # 默认是0,1代表开启
general_log_file="E:/mysql/logs/mysql_general.log"
...

接下来我们新建一个简单的Java程序,来测试一下:

try {
       Class.forName(name);//指定连接类型
       conn = DriverManager.getConnection(url, user, password);//获取连接
       pst = conn.prepareStatement("SELECT * FROM users WHERE `name`=?");//准备执行语句
       pst.setString(
最低0.47元/天 解锁文章
9ian1i
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql 预编译语句_SQL预编译
weixin_39928017的博客
01-19 916
1.数据库预编译起源(1)数据库SQL语句编译特性:数据库接受到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行,或者每次执行的时候只有个别的值不同(比如query的where子句值不同,update的set子句值不同,insert的values值不同)。(2)减少编译的方法如果每次都需要经过上面的词法语义解析、...
用一条mysql语句插入多条数据
09-10
- 对于动态构建的SQL语句,要防止SQL注入攻击,确保数据经过适当的转义或使用预处理语句。 综上所述,当需要向同一张表中插入多条记录时,使用一条MySQL语句进行批量插入是推荐的最佳实践。它不仅能显著提高插入...
mysql--预编译语句
蓝蓝的天
10-24 496
MySQL执行预编译分为如三步: 执行预编译语句,例如:prepare myfun from ‘select * from t_book where bid=?’; 设置变量,例如:set @str=‘b1’ 执行语句,例如:execute myfun using @str 如果需要再次执行myfun,那么就不再需要第一步,即不需要再编译语句了: 设置变量,例如:set @str=‘b2’ 执行语...
MySQL预编译功能简述
Li_Kun的博客
08-11 3947
预编译的好处 大家平时都使用过JDBC中的PreparedStatement接口,它有预编译功能。什么是预编译功能呢?它有什么好处呢? 当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句。其中校验语法,和编译所花的时间可能比执行SQL语句花的时间还要多。 如果我们需要执行多次insert语句,但只是每
mysql 预编译语句_Mysql预编译
weixin_35857225的博客
02-02 861
背景:需要根据集群个数查询集群相关信息,但是集群个数是个动态值,那么应该怎么样办?分析:1)先查询出distinct clusterName的个数2)然后根据查询出的个数来进行limit使用了MySQL里面的两个知识:1)预编译,语法如下# 定义预处理语句PREPARE stmt_name FROM preparable_stmt;# 执行预处理语句EXECUTE stmt_name [USING...
[MYSQL]prepare 预编译SQL:Mysql
HakIu's Blog
03-28 1891
预编译SQL:SQL代码prepare pstmt from select a from table;   上面这句SQL创建了一个预编译的SQL。名为pstmt,这个预编译SQL的存活期就是当前的会话,也就是当前的数据库连接。如果连接一断开 ,那就会消失。from后面跟的就是要进行编译的那个SQL,这个值可以是一个字面的字符串值 ,就像上面,也可以是一个变量。比如:
数据库课程设计-机票预订系统 JSP+MySQL
最新发布
04-29
因此,使用预编译SQL语句转义用户输入是必要的。同时,对敏感信息如密码的加密处理也非常重要。 8. **异常处理**: 程序中应包含适当的错误处理和异常捕获机制,以确保在出现错误时,系统能给出友好的提示,而...
PHP+MYSQL 注入靶场
04-26
例如,直接拼接用户输入到SQL查询中,而不是使用参数化查询或预编译语句,将使系统容易受到攻击。 **MySQL**是靶场中使用的数据库管理系统,存储靶场的数据和配置。SQL注入通常针对的是数据库的查询操作,因此了解...
javaweb+mysql数据库实现注册登录程序
03-06
7. **安全考虑**:在实际开发中,需要考虑安全性问题,比如防止SQL注入(使用预编译语句或ORM框架)、密码安全处理(哈希加盐)、XSS攻击防护(输出内容转义)等。 8. **前端交互**:使用HTML、CSS和JavaScript创建...
使用Perl DBI操作MySQL的一些建议
09-10
总结起来,使用Perl DBI和DBD::MySQL进行MySQL操作时,应注意字符集的正确配置,使用预编译SQL语句防止SQL注入,以及处理可能的连接超时问题。遵循这些最佳实践,可以编写出更健壮、更安全的Perl数据库应用程序。
预编译语句(Prepared Statements)介绍,以MySQL为例
天涯路的专栏
04-08 1723
1. 背景 本文重点讲述MySQL中的预编译语句并从MySQL的Connector/J源码出发讲述其在Java语言中相关使用。注意:文中的描述与结论基于MySQL 5.7.16以及Connect/J 5.1.42版本。 2. 预编译语句是什么 通常我们的一条sql在db接收到最终执行完毕返回可以分为下面三个过程: 词法和语义解析 优化sql语句,制定执行计划 执行并返回结果 我们把这种...
mysql预编译SQL语句_Oralce预编译Sql语句在JDBC中的处理
weixin_35695430的博客
01-28 187
预编译接口PreparedStatement是java.sql中的一个接口,它是Statement的一个自接口。Statement执行Sql语句时,需要将完整的Sql发送一、预编译SQL语句处理预编译接口PreparedStatement是java.sql中的一个接口,它是Statement的一个自接口。Statement执行Sql语句时,需要将完整的Sql发送给数据库,数据库经过编译后再执行。...
MySQL预编译
qq_43369986的博客
05-17 719
MySQL预编译 https://www.freesion.com/article/30881003118/ MySQL client发送一条SQL语句MySQL服务端后,服务端会对SQL进行语法校验、解析等操作,最后才会执行,但是如果对只是参数不同的SQL 每次都进行语法校验、解析等操作,难免会影响性能; 所谓预编译就是将一些灵活的参数值以占位符?的形式给代替掉,把参数值给抽取出来,将SQL语句进行模板化。让MySQL服务器执行相同的SQL语句时,不需要在校验、解析SQL语句上面花费重复的时间 M
MySql预编译笔记
学习笔记
02-08 527
查询mybatisXML文件中#和$占位符时,在MyBatis之#与¥区别以及sql预编译一文中有以下解释: #{ } 解析为一个 JDBC 预编译语句(prepared statement)的参数标记符。 ¥{ } 仅仅为一个纯碎的 string 替换,在动态 SQL 解析阶段将会进行变量替换,${ } 在预编译之前已经被变量替换了,这会存在 sql 注入问题 对于Sql预编译问题,探究...
mysql 预编译语句_MySQL预编译功能
weixin_42347375的博客
01-19 286
原标题:MySQL预编译功能1、预编译的好处大家平时都使用过JDBC中的PreparedStatement接口,它有预编译功能。什么是预编译功能呢?它有什么好处呢?当客户发送一条SQL语句给服务器后,服务器总是需要校验SQL语句的语法格式是否正确,然后把SQL语句编译成可执行的函数,最后才是执行SQL语句。其中校验语法,和编译所花的时间可能比执行SQL语句花的时间还要多。如果我们需要执行多次in...
mysql 预处理写法及使用
可克技术
04-01 913
mysql 预处理写法及使用
Python 预编译SQL
wangweicrazyboy的博客
10-21 252
看来优化的王道还是尽量减少sql的执行次数,比方说,把一条条的执行修改为 userid in (一批userId)。按道理说预编译进行批量执行的时候,速度会提升才对,但是经过实际测试:1000条用户数据,同样的sql语句。第二段采用预编译执行时间是40秒。预编译的速度竟然慢了这么多。在python中经常执行批量sql查询命令,原先采用的包是MysqlDB这个,第一段代码执行时间 均值是 19秒,
java代码sql语句中like的用法
05-26
在Java中使用SQL语句中的LIKE功能...注意,在设置参数时不需要加上`%`,因为预编译语句会自动将参数转义SQL语句中的通配符形式。 最后,使用`executeQuery()`方法执行查询语句,并使用`ResultSet`对象处理查询结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值