SQL参数化查询为什么能够防止SQL注入

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介: SQL参数化查询为什么能够防止SQL注入

1.SQL注入是什么

将SQL命令插入到表单提交或输入域名或页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。
-- 正常的查询语句
select * from users where username = 'a';

-- 恶意的查询语句
select * from users where username = 'a' or 1==1;

2.参数化查询是什么

参数化查询是指查询数据库时,在需要填入数据的地方,使用参数来给值。

set @id = 1;
SELECT * from users WHERE id = @id ;

3.SQL语句的执行处理

SQL语句按处理流程看有两类:即时SQL、预处理SQL。

  • 即时SQL
    即时SQL从DB接收到最终执行完毕返回,大致的过程如下:

      a. 词法和语义解析
      b. 优化sql语句,制定执行计划
      c. 执行并返回结果
    

    特点:一次编译,单次运行。

  • 预处理SQL
    程序中某条sql可能会被反复调用,或者每次执行的时候只有个别的值不同。如果每次按即时SQL的流程来看,效率是比较低的。
    这时候可以将SQL中的值用占位符代替,先生成SQL模板,然后再绑定参数,之后重复执行该语句的时候只需要替换参数,而不用再去进行词法和语义分析。可以视为SQL语句模板化或参数化。

    特点:一次编译,多次运行,省去了多次解析等过程。(多次运行是指在同一会话中再次执行相同的语句,也就不会被再次解析和编译)

-- 语法
# 定义预处理语句
PREPARE stmt_name FROM preparable_stmt;
# 执行预处理语句
EXECUTE stmt_name [USING @var_name [, @var_name] ...];
# 删除(释放)定义
{
  DROP | DEALLOCATE} PREPARE stmt_name;

4.预处理SQL 是如何防止SQL注入的

待执行的SQL被编译后存放在缓存池中,DB执行execute的时候,并不会再去编译一次,而是找到SQL模板,将参数传递给它然后执行。所以类似于 or 1==1 的命令会当成参数传递,而不会进行语义解析执行。

-- 预处理编译 SQL ,会占用资源
PREPARE stmt1 from 'SELECT COUNT(*) FROM users WHERE PASSWORD = ? AND user_name = ?';

set @a = 'name1 OR 1 = 1';
set @b = 'pwd1';

EXECUTE stmt1 USING @b,@a;

-- 使用 DEALLOCATE PREPARE 释放资源
DEALLOCATE PREPARE stmt1;
目录
相关文章
|
1月前
|
SQL 安全 数据库
如何在Django中正确使用参数化查询或ORM来避免SQL注入漏洞?
如何在Django中正确使用参数化查询或ORM来避免SQL注入漏洞?
141 77
|
28天前
|
SQL NoSQL Java
Java使用sql查询mongodb
通过MongoDB Atlas Data Lake或Apache Drill,可以在Java中使用SQL语法查询MongoDB数据。这两种方法都需要适当的配置和依赖库的支持。希望本文提供的示例和说明能够帮助开发者实现这一目标。
45 17
|
22天前
|
SQL Oracle 关系型数据库
如何在 Oracle 中配置和使用 SQL Profiles 来优化查询性能?
在 Oracle 数据库中,SQL Profiles 是优化查询性能的工具,通过提供额外统计信息帮助生成更有效的执行计划。配置和使用步骤包括:1. 启用自动 SQL 调优;2. 手动创建 SQL Profile,涉及收集、执行调优任务、查看报告及应用建议;3. 验证效果;4. 使用 `DBA_SQL_PROFILES` 视图管理 Profile。
|
29天前
|
SQL Java 数据库连接
【潜意识Java】MyBatis中的动态SQL灵活、高效的数据库查询以及深度总结
本文详细介绍了MyBatis中的动态SQL功能,涵盖其背景、应用场景及实现方式。
98 6
|
2月前
|
SQL 存储 人工智能
Vanna:开源 AI 检索生成框架,自动生成精确的 SQL 查询
Vanna 是一个开源的 Python RAG(Retrieval-Augmented Generation)框架,能够基于大型语言模型(LLMs)为数据库生成精确的 SQL 查询。Vanna 支持多种 LLMs、向量数据库和 SQL 数据库,提供高准确性查询,同时确保数据库内容安全私密,不外泄。
387 7
Vanna:开源 AI 检索生成框架,自动生成精确的 SQL 查询
|
2月前
|
SQL NoSQL Java
Java使用sql查询mongodb
通过使用 MongoDB Connector for BI 和 JDBC,开发者可以在 Java 中使用 SQL 语法查询 MongoDB 数据库。这种方法对于熟悉 SQL 的团队非常有帮助,能够快速实现对 MongoDB 数据的操作。同时,也需要注意到这种方法的性能和功能限制,根据具体应用场景进行选择和优化。
113 9
|
3月前
|
SQL Java
使用java在未知表字段情况下通过sql查询信息
使用java在未知表字段情况下通过sql查询信息
54 8
|
5月前
|
关系型数据库 MySQL 网络安全
5-10Can't connect to MySQL server on 'sh-cynosl-grp-fcs50xoa.sql.tencentcdb.com' (110)")
5-10Can't connect to MySQL server on 'sh-cynosl-grp-fcs50xoa.sql.tencentcdb.com' (110)")
|
7月前
|
SQL 存储 监控
SQL Server的并行实施如何优化?
【7月更文挑战第23天】SQL Server的并行实施如何优化?
184 13
|
7月前
|
SQL
解锁 SQL Server 2022的时间序列数据功能
【7月更文挑战第14天】要解锁SQL Server 2022的时间序列数据功能,可使用`generate_series`函数生成整数序列,例如:`SELECT value FROM generate_series(1, 10)。此外,`date_bucket`函数能按指定间隔(如周)对日期时间值分组,这些工具结合窗口函数和其他时间日期函数,能高效处理和分析时间序列数据。更多信息请参考官方文档和技术资料。
110 9