recherche

Maison >base de données >tutoriel mysql >Comment les instructions SQL paramétrées peuvent-elles empêcher les attaques par injection SQL ?

Comment les instructions SQL paramétrées peuvent-elles empêcher les attaques par injection SQL ?

Linda Hamilton
Linda Hamiltonoriginal
2025-01-25 13:56:10201parcourir

How Can Parameterized SQL Statements Prevent SQL Injection Attacks?

SQL paramétré: une défense cruciale contre l'injection SQL

La sécurité de la base de données est primordiale, surtout lorsqu'il s'agit d'entrées externes des applications Web ou de bureau. Les instructions SQL paramétrées sont une pierre angulaire d'une interaction de base de données robuste, empêchant efficacement les attaques d'injection SQL.

Considérons une requête SQL vulnérable: 

<code class="language-sql">SELECT empSalary FROM employee WHERE salary = txtSalary.Text</code>

Un utilisateur malveillant pourrait saisir 0 OR 1=1, récupérer tous les salaires. Encore plus dangereux, une entrée comme 0; DROP TABLE employee pourrait entraîner une perte de données.

Les requêtes paramétrées offrent une solution. Ils utilisent des espaces réservés pour les données fournies par l'utilisateur, isolant l'entrée de la commande SQL elle-même.

Voici comment cela fonctionne en C #: 

<code class="language-csharp">string sql = "SELECT empSalary FROM employee WHERE salary = @salary";

using (SqlConnection connection = new SqlConnection(/* connection info */))
using (SqlCommand command = new SqlCommand(sql, connection))
{
    SqlParameter salaryParam = new SqlParameter("salary", SqlDbType.Money);
    salaryParam.Value = txtMoney.Text;

    command.Parameters.Add(salaryParam);
    SqlDataReader results = command.ExecuteReader();
}</code>

et dans Visual Basic .NET: 

<code class="language-vb.net">Dim sql As String = "SELECT empSalary FROM employee WHERE salary = @salary"
Using connection As New SqlConnection("connectionString")
    Using command As New SqlCommand(sql, connection)
        Dim salaryParam = New SqlParameter("salary", SqlDbType.Money)
        salaryParam.Value = txtMoney.Text

        command.Parameters.Add(salaryParam)

        Dim results = command.ExecuteReader()
    End Using
End Using</code>

La clé est que la base de données traite @salary comme une valeur de données, et non comme un code exécutable. Cela empêche le code malveillant d'être interprété comme des commandes SQL. L'utilisation de requêtes paramétrées renforce considérablement la sécurité de la base de données, atténuant le risque de violations de données et de compromis système.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

sql for using this input table database
Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn
Article précédent:Comment puis-je simuler une jointure extérieure complète dans MySQL?Article suivant:Comment puis-je simuler une jointure extérieure complète dans MySQL?

Articles Liés

Voir plus