预编译之sql注入

使用预处理语句
简介
因为sql注入是因为动态字符串的拼接导致sql命令发生改变,然后编译并且执行错误的结果。

而sql预处理则是提前“告诉”sql语法处理器,提前声明并且编译特定格式的sql语句,然后将所有用户的输入视为纯字符串参数,最后组成查询语句。

值得注意的是,这一思路和汉语中的 “断句” 思路类似。不同的断句可以产生不同的结果(这对sql编译也是类似的),那么以事先约定的方式断句,就不会造成语义的曲解。这就是预处理的基本思路。

如图:预处理使得预定的sql语句模块化预编译之sql注入_第1张图片


预处理语句的查询
在php中使用预处理有以下步骤步骤:

1.连接到数据库
2.设置预处理语句的结构
3.填入参数(用户的输入)
4.执行sql语句
预编译之sql注入_第2张图片值得注意的是,绑定参数时,第一个字符串是参数的格式,字符串用s字母表示,比如上述代码的"ss"表示第一个,第二个参数(按照预prepare中问号的顺序排列)的类型都是字符串类型。下面给出详细的类型映射:

 预编译之sql注入_第3张图片

值得注意的是,时间日期等特殊数据类型,部分类型用 s 即字符串也可以表示。



预处理语句获取查询结果

预编译之sql注入_第4张图片预编译之sql注入_第5张图片

预编译之sql注入_第6张图片

 


总结:
预处理语句事先约定一次规则,可以有效防止sql注入
预处理语句占用带宽小,一次约定,多次查询,只需要向服务器发送绑定的参数,而不是整个sql语句
虽然预处理能够有效防止漏洞,但是仍然要在前后端接收的时候做好字符的验证与过滤,保证整个接口的完整性

摘抄至:php使用mysql预处理语句防止sql注入 简单讲解及代码实现_AKGWSB 's blog-CSDN博客_php预处理防止sql注入前言最近在做一个小项目的后台,牵扯到登录等等需要操作数据库的地方,为了安全起见,特地来记录一下。sql注入是一个非常常见的漏洞,可能会带来严重的后果,sql注入漏洞来自于sql查询语句的拼接,攻击者通过非法的输入改写sql语句的语义,以达到攻击者的目的。sql注入简单介绍sql注入漏洞来自于sql查询语句的拼接,攻击者通过非法的输入改写sql语句的语义,以达到攻击者的目的。初次听起来很抽象,什么是改写语义呢?我们来举一个简单的例子总所周知lol里面有一个位置叫做【辅助】,我们有如下语句:我最喜欢https://blog.csdn.net/weixin_44176696/article/details/107672125

你可能感兴趣的:(sql,数据库,database)