SQL参数化查询为什么能够防止SQL注入

  1. SQL注入是什么

    将SQL命令插入到表单提交或输入域名或页面请求的查询字符串中,欺骗服务器执行恶意的SQL命令。

     -- 正常的查询语句
     select * from users where username = 'a';
    
     -- 恶意的查询语句
     select * from users where username = 'a' or 1==1;
  2. 参数化查询是什么

    参数化查询是指查询数据库时,在需要填入数据的地方,使用参数来给值。

    set @id = 1;
    SELECT * from users WHERE id = @id ;

  1. SQL语句的执行处理

    SQL语句按处理流程看有两类:即时SQL、预处理SQL。

  • 即时SQL
    即时SQL从DB接收到最终执行完毕返回,大致的过程如下:

      a. 词法和语义解析
      b. 优化sql语句,制定执行计划
      c. 执行并返回结果

    特点:一次编译,单次运行。

  • 预处理SQL
    程序中某条sql可能会被反复调用,或者每次执行的时候只有个别的值不同。如果每次按即时SQL的流程来看,效率是比较低的。
    这时候可以将SQL中的值用占位符代替,先生成SQL模板,然后再绑定参数,之后重复执行该语句的时候只需要替换参数,而不用再去进行词法和语义分析。可以视为SQL语句模板化或参数化。

    特点:一次编译,多次运行,省去了多次解析等过程。(多次运行是指在同一会话中再次执行相同的语句,也就不会被再次解析和编译)

      -- 语法
      # 定义预处理语句
      PREPARE stmt_name FROM preparable_stmt;
      # 执行预处理语句
      EXECUTE stmt_name [USING @var_name [, @var_name] ...];
      # 删除(释放)定义
      {DROP | DEALLOCATE} PREPARE stmt_name;
  1. 预处理SQL 是如何防止SQL注入的

    待执行的SQL被编译后存放在缓存池中,DB执行execute的时候,并不会再去编译一次,而是找到SQL模板,将参数传递给它然后执行。所以类似于 or 1==1 的命令会当成参数传递,而不会进行语义解析执行。

     -- 预处理编译 SQL ,会占用资源
     PREPARE stmt1 from 'SELECT COUNT(*) FROM users WHERE PASSWORD = ? AND user_name = ?';
    
     set [@a](https://learnku.com/users/16347) = 'name1 OR 1 = 1';
     set @b = 'pwd1';
    
     EXECUTE stmt1 USING @b,[@a](https://learnku.com/users/16347);
    
     -- 使用 DEALLOCATE PREPARE 释放资源
     DEALLOCATE PREPARE stmt1;
本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!