準備好的語句如何防止 SQL 注入？

準備好的語句：針對 SQL 注入的穩健防禦（第 2 部分）

準備好的語句提供了一種預防 SQL 注入的主動方法。 他們透過將使用者提供的資料與 SQL 查詢結構分開來實現這一點。 準備好的語句不是將使用者輸入直接嵌入到查詢字串中，而是使用參數（通常表示為問號 (?)）作為佔位符。

資料庫引擎在新增使用者資料之前解析並編譯準備好的語句。 此關鍵步驟可確保使用者輸入僅被視為數據，從而防止將其解釋為可執行 SQL 程式碼。這與直接將使用者輸入連接到 SQL 字串的易受攻擊的方法形成鮮明對比。

說明性範例：考慮將使用者資料插入資料庫。

易受攻擊的字串連線：

PreparedStatement stmt = conn.createStatement("INSERT INTO students VALUES('" + user + "')");
stmt.execute();

安全準備好的聲明：

PreparedStatement stmt = conn.prepareStatement("INSERT INTO student VALUES(?)");
stmt.setString(1, user);
stmt.execute();

如果惡意使用者輸入：Robert'); DROP TABLE students; --

字串連接方法的結果是：

INSERT INTO students VALUES('Robert'); DROP TABLE students; --')

這將執行惡意DROP TABLE命令。

但是，使用準備好的語句，資料庫執行：

INSERT INTO student VALUES('Robert');

惡意輸入被視為文字數據，從而消除了 SQL 注入威脅。 準備好的語句有效地將查詢邏輯與潛在有害的使用者輸入隔離，從而確保 SQL 命令的完整性。

以上是準備好的語句如何防止 SQL 注入？的詳細內容。更多資訊請關注PHP中文網其他相關文章！