SQL参数化查询为什么能够防止SQL注入?
1、SQL 注入是什么
将 SQL 命令插入到表单提交或输入域名或页面请求的查询字符串中,欺骗服务器执行恶意的 SQL 命令。
--正常的查询语句select*fromuserswhereusername='a';--恶意的查询语句select*fromuserswhereusername='a'or1==1;
2、参数化查询是什么
参数化查询是指查询数据库时,在需要填入数据的地方,使用参数来给值。
set@id=1;SELECT*fromusersWHEREid=@id;
3、SQL 语句的执行处理
SQL 语句按处理流程看有两类:即时 SQL、预处理 SQL。
即时 SQL
即时 SQL 从 DB 接收到最终执行完毕返回,大致的过程如下:
a.词法和语义解析b.优化sql语句,制定执行计划c.执行并返回结果
特点:一次编译,单次运行。
预处理 SQL
程序中某条 sql 可能会被反复调用,或者每次执行的时候只有个别的值不同。如果每次按即时 SQL 的流程来看,效率是比较低的。
这时候可以将 SQL 中的值用占位符代替,先生成 SQL 模板,然后再绑定参数,之后重复执行该语句的时候只需要替换参数,而不用再去进行词法和语义分析。可以视为 SQL 语句模板化或参数化。
特点:一次编译,多次运行,省去了多次解析等过程。(多次运行是指在同一会话中再次执行相同的语句,也就不会被再次解析和编译)
--语法#定义预处理语句PREPAREstmt_nameFROMpreparable_stmt;#执行预处理语句EXECUTEstmt_name[USING@var_name[,@var_name]...];#删除(释放)定义{DROP|DEALLOCATE}PREPAREstmt_name;
4、预处理 SQL 是如何防止 SQL 注入的
待执行的 SQL 被编译后存放在缓存池中,DB 执行 execute 的时候,并不会再去编译一次,而是找到 SQL 模板,将参数传递给它然后执行。所以类似于 or 1==1 的命令会当成参数传递,而不会进行语义解析执行。
--预处理编译SQL,会占用资源PREPAREstmt1from'SELECTCOUNT(*)FROMusersWHEREPASSWORD=?ANDuser_name=?';set[@a](https://learnku.com/users/16347)='name1OR1=1';set@b='pwd1';EXECUTEstmt1USING@b,[@a](https://learnku.com/users/16347);--使用DEALLOCATEPREPARE释放资源DEALLOCATEPREPAREstmt1;
上一篇:Mysql数据库中的存储引擎是什么
下一篇:MySQL中不等号索引问题怎么解决
sql
