Heim  >  Artikel  >  Warum die Vorkompilierung die SQL-Injektion verhindert

Warum die Vorkompilierung die SQL-Injektion verhindert

(*-*)浩
(*-*)浩Original
2019-05-10 17:33:1612614Durchsuche

Der Grund, warum die Vorkompilierung die SQL-Injection verhindern kann: Ermöglichen, dass die Datenbank parametrisierte Abfragen durchführt. Bei der Verwendung parametrisierter Abfragen betrachtet die Datenbank den Inhalt der Parameter nicht als Teil der SQL-Ausführung, sondern als Attributwert eines Feldes. Auf diese Weise gilt, dass die Parameter destruktive Anweisungen (oder „1=1“) enthalten. wird nicht ausgeführt.

Warum die Vorkompilierung die SQL-Injektion verhindert

Warum kann PreparedStatement die SQL-Injection bis zu einem gewissen Grad verhindern?

PreparedStatement führt eine Vorkompilierung von SQL durch. Die Datenbank wird analysiert, kompiliert und optimiert, bevor SQL zum ersten Mal ausgeführt wird. Gleichzeitig wird der Ausführungsplan zwischengespeichert, wodurch die Datenbank ausgeführt werden kann parametrisierte Abfragen durchführen. Bei der Verwendung parametrisierter Abfragen betrachtet die Datenbank den Inhalt der Parameter nicht als Teil der SQL-Ausführung, sondern als Attributwert eines Feldes. Auf diese Weise gilt, dass die Parameter destruktive Anweisungen (oder „1=1“) enthalten. wird nicht ausgeführt.

Empfohlene Kurse: Java-Tutorial

Wie verwende ich PreparedStatement? Wie vermeide ich SQL-Injection-Angriffe? Was ist der Unterschied zwischen PreparedStatement und Statement und welche Vorteile haben sie?

Ein einfaches Beispiel für PreparedStatement

public class JDBCTest {
    public static void main(String[] args) {
        //表示使用Unicode字符集;字符编码设置为utf-8;不使用SSL连接
        String URL = "jdbc:mysql://127.0.0.1:3306/sampledb?useUnicode=true&" +
                "characterEncoding=utf-8&useSSL=false";
        String USER = "spring4";//用户
        String PASSWORD = "spring4";//密码
        Connection conn = null;
        PreparedStatement st = null;
        ResultSet rs = null;
        try {
            //1.加载驱动程序到JVM
            Class.forName("com.mysql.jdbc.Driver");
            //2.创建数据库连接
            conn = DriverManager.getConnection(URL, USER, PASSWORD);
            //3.创建Statement,实现增删改查
            String sql = "select user_id,user_name,credits from t_user where credits > ?";
            st = conn.prepareStatement(sql);//这里使用PreparedStatement
            st.setInt(1, 8);
            //4.向数据库发送SQL命令
            rs = st.executeQuery();
            //5.使用ResultSet处理数据库的返回结果
            while (rs.next()) {
                System.out.println(rs.getLong("user_id") + " "
                        + rs.getString("user_name") + " "
                        + rs.getString("credits"));
            }
        } catch (ClassNotFoundException | SQLException e) {
            e.printStackTrace();
        } finally {
            //6.关闭资源
            try {
                rs.close();
                st.close();
                conn.close();
            } catch (SQLException e) {
                e.printStackTrace();
            }
        }
    }
}

Mehrere Implementierungen von Statement

Das Statement-Objekt wird verwendet, um SQL-Anweisungen an die Datenbank zu senden.

Jedes Mal, wenn Statement eine SQL-Anweisung ausführt, muss die Datenbank die Kompilierung der SQL-Anweisung ausführen. Dies wird am besten in Situationen verwendet, in denen die Abfrage nur einmal ausgeführt wird und die Ergebnisse zurückgegeben werden 1. Führen Sie statische SQL-Anweisungen aus. Wird normalerweise über Statement-Instanzen implementiert.

2. Führen Sie dynamische SQL-Anweisungen aus. Wird normalerweise über eine PreparedStatement-Instanz implementiert.

3. Führen Sie die gespeicherte Datenbankprozedur aus. Wird normalerweise über eine CallableStatement-Instanz implementiert. Der Unterschied zwischen

'

#' und '$'

SQL-Vorkompilierung bezieht sich darauf, dass der Datenbanktreiber die SQL-Anweisung kompiliert, bevor er die SQL-Anweisung und die Parameter an sendet DBMS. Wenn das DBMS SQL ausführt, muss es nicht neu kompiliert werden.

„#{ }“: Wird als Parametermarkierung einer JDBC-vorbereiteten Anweisung (vorbereitete Anweisung) geparst, ein „#{ }“ wird als Parameterplatzhalter geparst?

‘${ }’ ist nur eine reine String-Ersetzung, die Variablenersetzung wird während der dynamischen SQL-Analysephase durchgeführt. Bereits vor der Vorkompilierung durch Variablen ersetzt

Die Ersetzungsphase der Variable „${ }“ findet in der dynamischen SQL-Analysephase statt, während die Ersetzungsphase der Variable „#{ }“ im DBMS erfolgt.

Was ist der Unterschied zwischen PreparedStatement und Statement?

1. Diese vorkompilierte SQL-Abfrageanweisung kann in zukünftigen Abfragen wiederverwendet werden. Dadurch werden Abfragen schneller generiert als bei Statement-Objekten.

2.PreparedStatement kann dynamische parametrisierte Abfragen schreiben

3.PreparedStatement kann SQL-Injection-Angriffe verhindern

4.PreparedStatement-Abfragen sind besser lesbar und können Bedingungen hinzufügen. Die Anweisung ist chaotisch

5. PreparedStatement erlaubt nicht, dass ein Platzhalter (?) mehrere Werte hat

Das obige ist der detaillierte Inhalt vonWarum die Vorkompilierung die SQL-Injektion verhindert. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:So konvertieren Sie PDF in JPGNächster Artikel:So konvertieren Sie PDF in JPG