使用問號的參數化查詢如何防止 SQL 注入？

SQL參數化查詢：問號的秘密

在閱讀SQL書籍時，你可能會注意到查詢中經常使用問號（?）。這些問號在參數化查詢中扮演著重要角色，參數化查詢廣泛應用於程式中的動態SQL執行。

參數化查詢避免了直接使用簡單的字串查詢，它增強了安全性並防止了SQL注入漏洞。它們充當佔位符，在查詢執行時動態賦值。

考慮以下範例：

<code>ODBCCommand cmd = new ODBCCommand("SELECT thingA FROM tableA WHERE thingB = ?")
cmd.Parameters.Add(7)
result = cmd.Execute()</code>

此處，問號（?）充當動態值7的佔位符，該值被賦值給參數'thingB'。此方法保護系統免受可能利用安全漏洞的惡意輸入的攻擊。

例如，如果使用者輸入以下惡意輸入：

<code>Robert'); DROP TABLE students; --</code>

使用參數化查詢時，函式庫會對輸入進行清理，結果為：

<code>"SELECT * FROM students WHERE name = 'Robert''); DROP TABLE students; --'"</code>

有效地阻止了攻擊者惡意意圖的執行。

某些資料庫管理系統（DBMS），例如MS SQL，使用命名參數，提高了可讀性和清晰度。例如：

<code>cmd.Text = "SELECT thingA FROM tableA WHERE thingB = @varname"
cmd.Parameters.AddWithValue("@varname", 7)
result = cmd.Execute()</code>

透過使用帶有問號的參數化查詢，或在某些DBMS中使用命名參數，您可以保護您的資料庫免受注入攻擊，並維護資料的完整性。

以上是使用問號的參數化查詢如何防止 SQL 注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！