Comment les requêtes paramétrées dans SQL empêchent-elles les attaques par injection SQL ?

Requête paramétrée SQL avec point d'interrogation

Lors de la consultation de la documentation SQL, vous pouvez rencontrer des points d'interrogation (?) dans les requêtes. Ces espaces réservés représentent des requêtes paramétrées et sont largement utilisés pour exécuter du SQL dynamique dans les programmes.

Les requêtes paramétrées présentent de nombreux avantages. Ils simplifient le code en dissociant les valeurs des paramètres de la requête elle-même, la rendant plus efficace et flexible. De plus, ils améliorent la sécurité en empêchant les attaques par injection SQL.

Par exemple, dans un exemple de pseudocode :

<code>ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = 7")
result = cmd.Execute()</code>

peut être réécrit comme :

<code>ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = ?")
cmd.Parameters.Add(7)
result = cmd.Execute()</code>

Cette technique garantit un échappement correct des chaînes, éliminant ainsi le risque d'injection SQL. Considérez le scénario suivant :

<code>string s = getStudentName()
cmd.CommandText = "SELECT * FROM students WHERE (name = '" + s + "')"
cmd.Execute()</code>

Si l'utilisateur saisit la chaîne Robert'); DROP TABLE Students; --, une attaque par injection SQL peut se produire. Cependant, en utilisant des requêtes paramétrées :

<code>s = getStudentName()
cmd.CommandText = "SELECT * FROM students WHERE name = ?"
cmd.Parameters.Add(s)
cmd.Execute()</code>

La fonction de bibliothèque nettoiera l'entrée pour empêcher l'exécution de code malveillant.

Alternativement, Microsoft SQL Server utilise des paramètres nommés, ce qui améliore la lisibilité et la clarté :

<code>cmd.Text = "SELECT thingA FROM tableA WHERE thingB = @varname"
cmd.Parameters.AddWithValue("@varname", 7)
result = cmd.Execute()</code>

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!