中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SQL參數化查詢能防止SQL注入的原因是什么

發布時間:2023-03-17 16:37:44 來源:億速云 閱讀:122 作者:iii 欄目:MySQL數據庫

這篇文章主要介紹了SQL參數化查詢能防止SQL注入的原因是什么的相關知識,內容詳細易懂,操作簡單快捷,具有一定借鑒價值,相信大家閱讀完這篇SQL參數化查詢能防止SQL注入的原因是什么文章都會有所收獲,下面我們一起來看看吧。

SQL參數化查詢為什么能夠防止SQL注入?

1、SQL 注入是什么

將 SQL 命令插入到表單提交或輸入域名或頁面請求的查詢字符串中,欺騙服務器執行惡意的 SQL 命令。

 -- 正常的查詢語句
 select * from users where username = 'a';

 -- 惡意的查詢語句
 select * from users where username = 'a' or 1==1;

2、參數化查詢是什么

參數化查詢是指查詢數據庫時,在需要填入數據的地方,使用參數來給值。

set @id = 1;
SELECT * from users WHERE id = @id ;

3、SQL 語句的執行處理

SQL 語句按處理流程看有兩類:即時 SQL、預處理 SQL。

  • 即時 SQL

即時 SQL 從 DB 接收到最終執行完畢返回,大致的過程如下:

  a. 詞法和語義解析
  b. 優化sql語句,制定執行計劃
  c. 執行并返回結果

特點:一次編譯,單次運行。

  • 預處理 SQL

程序中某條 sql 可能會被反復調用,或者每次執行的時候只有個別的值不同。如果每次按即時 SQL 的流程來看,效率是比較低的。

這時候可以將 SQL 中的值用占位符代替,先生成 SQL 模板,然后再綁定參數,之后重復執行該語句的時候只需要替換參數,而不用再去進行詞法和語義分析。可以視為 SQL 語句模板化或參數化。

特點:一次編譯,多次運行,省去了多次解析等過程。(多次運行是指在同一會話中再次執行相同的語句,也就不會被再次解析和編譯)

  -- 語法
  # 定義預處理語句
  PREPARE stmt_name FROM preparable_stmt;
  # 執行預處理語句
  EXECUTE stmt_name [USING @var_name [, @var_name] ...];
  # 刪除(釋放)定義
  {DROP | DEALLOCATE} PREPARE stmt_name;

4、預處理 SQL 是如何防止 SQL 注入的

待執行的 SQL 被編譯后存放在緩存池中,DB 執行 execute 的時候,并不會再去編譯一次,而是找到 SQL 模板,將參數傳遞給它然后執行。所以類似于 or 1==1 的命令會當成參數傳遞,而不會進行語義解析執行。

 -- 預處理編譯 SQL ,會占用資源
 PREPARE stmt1 from 'SELECT COUNT(*) FROM users WHERE PASSWORD = ? AND user_name = ?';

 set [@a](https://learnku.com/users/16347) = 'name1 OR 1 = 1';
 set @b = 'pwd1';

 EXECUTE stmt1 USING @b,[@a](https://learnku.com/users/16347);

 -- 使用 DEALLOCATE PREPARE 釋放資源
 DEALLOCATE PREPARE stmt1;

關于“SQL參數化查詢能防止SQL注入的原因是什么”這篇文章的內容就介紹到這里,感謝各位的閱讀!相信大家對“SQL參數化查詢能防止SQL注入的原因是什么”知識都有一定的了解,大家如果還想學習更多知識,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

sql
AI

乌兰浩特市| 安吉县| 邵阳县| 沙坪坝区| 丹棱县| 龙山县| 会宁县| 河北区| 安宁市| 滦南县| 永丰县| 万州区| 海晏县| 内丘县| 蛟河市| 陇西县| 铁岭县| 武陟县| 凤山县| 团风县| 嵩明县| 鹿邑县| 新宁县| 铁岭市| 鞍山市| 图们市| 勃利县| 清原| 黄龙县| 枝江市| 桐城市| 津南区| 康保县| 新乡县| 巴里| 陕西省| 天门市| 陈巴尔虎旗| 刚察县| 丽水市| 大邑县|