博客列表 >pdopdopdopdo

pdopdopdopdo

峰回掠影的博客
峰回掠影的博客原创
2019年03月22日 10:05:30614浏览

正常情况下,客户端向mysql数据库发送的是一个完整的sql语句(字符串)。mysql收到这个字符串后,解析sql(“编译”)、执行sql、返回结果。但这样的字符串sql可能会有攻击行为,比如sql注入的风险(select * from user where 1=1;delete from user本来是想查一下用户表中的数据,结果被黑客做了sql注入,删除了user表)。

如果在客户端进行预编译后,那么客户端向mysql发送的就不是一条普通的sql,而是分两次发送。第一次发送的是带参数的sql(不能直接执行),第二次发送参数和值。mysql接收到后,省略了解析sql的过程(性能比第一种稍好一些),因为第一次发来的sql中有占位符,所以mysql只需要把占位符用第二次发过来的值填充就好了。这时候的攻击语句会被当成变量来处理,用于攻击的特殊符号会被直接转义掉。从而失去攻击的作用

声明:本文内容转载自脚本之家,由网友自发贡献,版权归原作者所有,如您发现涉嫌抄袭侵权,请联系admin@php.cn 核实处理。
全部评论
文明上网理性发言,请遵守新闻评论服务协议