ホームページ >データベース >mysql チュートリアル >プリコンパイルによって SQL インジェクションが妨げられる理由
プリコンパイルによって SQL インジェクションが防止される理由: プリコンパイル後、SQL ステートメントはデータベースによって分析、コンパイル、最適化されており、データベースはパラメーター化された形式でクエリできるため、機密文字が含まれている場合でも、データベースはそれらを属性として扱います SQL 命令の代わりに値が処理されます
ご存知のとおり、Java の JDBC には前処理関数があります。この機能の利点は、特にデータベースを複数回操作する場合の実行速度を向上できることです。もう 1 つの利点は、SQL インジェクションを防止することです。厳密に言えば、SQL インジェクションの大部分を防止する必要があります。
使用方法は次のとおりです。
String sql="update cz_zj_directpayment dp"+ "set dp.projectid = ? where dp.payid= ?"; try { PreparedStatement pset_f = conn.prepareStatement(sql); pset_f.setString(1,inds[j]); pset_f.setString(2,id); pset_f.executeUpdate(sql_update); }catch(Exception e){ //e.printStackTrace(); logger.error(e.message()); }
では、なぜこのように処理することで SQL インジェクションを防ぎ、セキュリティを向上できるのでしょうか。実際、これはプログラムの実行前に SQL ステートメントがプリコンパイルされているためであり、プログラムの実行時に初めてデータベースが操作される前に、SQL ステートメントはデータベースによって分析、コンパイル、最適化されています。プランもキャッシュされ、データベースでパラメータを使用できるようになります。標準化された形式でクエリを実行します。実行時にパラメータが動的に PreprareStatement に渡される場合、パラメータに「1=1」などの機密文字が含まれている場合でも、データベースはSQL ステートメントとしてではなく、フィールドのパラメータおよび属性値としてこのコマンドは SQL インジェクションの役割を果たします。
以上がプリコンパイルによって SQL インジェクションが妨げられる理由の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。