如何使用预处理语句来防止SQL注入攻击？

Question

11 浏览2023年2月21日

匿名的 2023年2月22日

0 Comments

预编译语句如何帮助我们防止SQL注入攻击？

维基百科说：

预编译语句对抗SQL注入攻击具有弹性，因为稍后使用不同协议传输的参数值无需正确转义。如果原始语句模板不是来自外部输入，就不会发生SQL注入。

我不太明白原因。有没有简单的解释，用简单的英语和一些例子说明一下？

0

3 答案

匿名的 · Answer 1 · 2023-03-18T17:27:11+00:00

预处理语句是一种用于保护数据库免受SQL注入攻击的方法。它的出现是为了解决直接将用户输入的数据插入到应用程序SQL语句中可能导致的安全问题。通过使用预处理语句，来自潜在黑客的数据被视为数据，而不会与应用程序的SQL混合在一起，也不会被解释为SQL语句。

预处理语句的工作原理是首先准备SQL查询，以找到一个高效的查询计划，然后在实际执行查询时，传递实际的值，这些值通常来自一个表单。这样，用户输入的数据不会直接插入到SQL查询中，从而避免了SQL注入攻击的风险。

预处理语句的使用可以保护数据库免受SQL注入攻击，因为它们将用户输入的数据视为数据而不是代码。这样，即使用户输入的数据中包含SQL语句的关键字或特殊字符，也不会被解释为SQL语句的一部分。相反，这些数据将作为参数传递给预处理语句，然后被安全地插入到SQL查询中。

总之，预处理语句是一种有效的防止SQL注入攻击的方法。它通过将用户输入的数据视为数据而不是代码，从而避免了直接将用户输入的数据插入到应用程序SQL语句中可能导致的安全问题。通过预处理SQL查询并将实际值作为参数传递，数据库可以更安全地执行查询操作，保护数据的安全性。

匿名的 · Answer 2 · 2023-09-25T06:06:15+00:00

预处理语句如何保护免受SQL注入攻击

SQL注入问题的根源在于代码和数据的混合。实际上，我们的SQL查询是一个合法的程序。我们动态地创建这样一个程序，在其中添加一些数据。因此，数据可能会干扰程序代码，甚至改变它，正如每个SQL注入示例所展示的那样（所有PHP/MySQL中的示例）。

下面是一些示例代码：

$expected_data = 1;
$query = "SELECT * FROM users where id=$expected_data";

上述代码将生成一个正常的查询：

SELECT * FROM users where id=1

而以下代码将生成一个恶意的序列：

$spoiled_data = "1; DROP TABLE users;"
$query = "SELECT * FROM users where id=$spoiled_data";

生成的查询为：

SELECT * FROM users where id=1; DROP TABLE users;

之所以能成功，是因为我们直接将数据添加到程序体中，它成为了程序的一部分，因此数据可以改变程序的运行。根据传递的数据不同，我们要么得到一个正常的输出，要么删除一个名为"users"的表。

而在预处理语句中，我们不会改变我们的程序，它保持不变。我们首先将一个程序发送到服务器：

$db->prepare("SELECT * FROM users where id=?");

其中，数据被替换为一个称为参数或占位符的变量。请注意，我们发送到服务器的查询完全相同，没有任何数据在其中！然后，我们使用第二个请求发送数据，与查询本身实质上是分离的：

$db->execute($data);

因此，数据无法改变我们的程序，也不会造成任何危害。

预处理语句可以保护的只有数据字面量，而不能与任何其他查询部分一起使用。因此，当我们需要添加一个动态的标识符，比如一个字段名时，预处理语句就无法帮助我们。

有人问如何在预处理语句中处理动态列名或带有%%语句的情况。例如：'select * from table where ? like %?%'

我的经验是这种情况下无法使用预处理语句。

有人认为在使用预处理语句执行查询时，查询将会像这样执行：SELECT * FROM users where id='1;DROP TABLE users'，因此这个值在数据库中找不到，不会返回任何结果。哦，天哪！所以它还能保护我们免受SQL注入攻击！太棒了！

匿名的 · Answer 3 · 2023-07-02T22:19:11+00:00

预处理语句（Prepared Statements）是一种用于保护SQL注入攻击的方法。SQL注入攻击的原因是使用字符串拼接的方式构建SQL语句，其中包含用户输入，而用户可以通过恶意注入来改变查询的预期结果。在上面的示例中，Inject类就是一个容易受到SQL注入攻击的示例，它使用了字符串拼接的方式构建SQL查询语句。

为了防止SQL注入攻击，可以使用预处理语句来替代字符串拼接。预处理语句使用占位符（?）来表示参数，然后通过绑定参数的方式将用户输入与SQL语句关联起来。在上面的示例中，Bind类就展示了如何使用预处理语句来构建SQL查询语句，通过调用setString方法绑定参数。预处理语句在执行查询之前会先进行编译，这样可以防止恶意注入。

通过使用预处理语句，可以避免使用字符串拼接构建SQL语句带来的安全漏洞。此外，预处理语句还可以提高查询性能，因为预处理语句的编译过程只需要执行一次，而不是每次查询都需要重新解析SQL语句。

，使用预处理语句是一种有效的防止SQL注入攻击的方法。通过替代字符串拼接，使用占位符和参数绑定的方式构建SQL语句，可以保证查询的安全性，同时提高查询性能。