加固SQL参数与存储过程_MySQL-mysql教程-PHP中文网

首页

数据库

mysql教程

加固SQL参数与存储过程_MySQL

PHP中文网

May 27, 2016 pm 02:29 PM

bitsCN.com

　　开发人员对于注入攻击可能有了一些了解，但是实际运用中却很难通过把握一些重要环节和技术对注入攻击进行防范。

　　本节为读者讲解如何利用ADO.NET本身的参数对象和存储过程技术防止注入攻击，以达到用户界面输入与原始SQL的分离，使黑客无法拼接SQL语句的目的。

　　SQL参数与存储过程

　　SQL参数是开发人员很容易忽视的一个环节，通常直接完成SQL语句，然后传递给数据库执行。这样的写法固然简单，但是也为注入攻击埋下了伏笔。如果要避免注入攻击，就要对SQL语句进行专门的过滤处理，但如果直接使用SQL参数对象就可以省去以上环节。

　　SQL中的Parameters集合提供了类型检查和长度验证。如果研发人员使用Parameters集合，输入将被视为文本值进行处理，SQL不会将它视为可执行代码。使用Parameters集合的另一个好处是可以实施类型和长度检查，如果值超出范围将触发异常。这是纵深防范的一个好例子。尽可能地使用存储过程，而且应该通过Parameters集合调用它们。

　　下面通过几行代码说明如何使用参数集合对象，读者注意@au_id参数将被当作文本值而不是可执行代码。同样，对参数将进行类型和长度检查。在下面的示例中，输入值不能长于11个字符。如果数据不遵守参数所定义的类型或者长度，将出现异常。

　　Parameters集合演示代码如下：

SqlDataAdapter myCommand = new SqlDataAdapter("AuthorLogin",conn);
　　myCommand.SelectCommand.CommandType = CommandType.StoredProcedure;
　　SqlParameter parm = myCommand.SelectCommand.Parameters.Add(
　　"@au_id",SqlDbType.VarChar,11);
　　parm.Value = Login.Text;

　　请读者注意，使用存储过程并不一定能防止SQL注入。重要的是在存储过程中使用参数对象。如果不使用参数，存储过程使用未经筛选的输入时，就很容易遭到SQL注入攻击。例如，以下代码片段就存在问题：

SqlDataAdapter myCommand = new SqlDataAdapter("LoginStoredProcedure &#39;" +
　　Login.Text + "&#39;", conn);

　　正确的代码片段如下所示：

SqlDataAdapter myCommand = new SqlDataAdapter(
　　"SELECT au_lname, au_fname FROM Authors WHERE au_id = @au_id",conn);
　　SqlParameter parm = myCommand.SelectCommand.Parameters.Add("@au_id",
　　SqlDbType.VarChar,11);
　　parm.Value = Login.Text;

以上就是加固SQL参数与存储过程_MySQL的内容，更多相关内容请关注PHP中文网（www.php.cn）！

声明

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系admin@php.cn

说明InnoDB重做日志和撤消日志的作用。Apr 15, 2025 am 12:16 AM

InnoDB使用redologs和undologs确保数据一致性和可靠性。1.redologs记录数据页修改，确保崩溃恢复和事务持久性。2.undologs记录数据原始值，支持事务回滚和MVCC。

在解释输出（类型，键，行，额外）中要查找的关键指标是什么？Apr 15, 2025 am 12:15 AM

EXPLAIN命令的关键指标包括type、key、rows和Extra。1）type反映查询的访问类型，值越高效率越高，如const优于ALL。2）key显示使用的索引，NULL表示无索引。3）rows预估扫描行数，影响查询性能。4）Extra提供额外信息，如Usingfilesort提示需要优化。

在解释中使用临时状态以及如何避免它是什么？Apr 15, 2025 am 12:14 AM

Usingtemporary在MySQL查询中表示需要创建临时表，常见于使用DISTINCT、GROUPBY或非索引列的ORDERBY。可以通过优化索引和重写查询避免其出现，提升查询性能。具体来说，Usingtemporary出现在EXPLAIN输出中时，意味着MySQL需要创建临时表来处理查询。这通常发生在以下情况：1)使用DISTINCT或GROUPBY时进行去重或分组；2)ORDERBY包含非索引列时进行排序；3)使用复杂的子查询或联接操作。优化方法包括：1)为ORDERBY和GROUPB

描述不同的SQL交易隔离级别（读取未读取，读取，可重复的读取，可序列化）及其在MySQL/InnoDB中的含义。Apr 15, 2025 am 12:11 AM

MySQL/InnoDB支持四种事务隔离级别：ReadUncommitted、ReadCommitted、RepeatableRead和Serializable。1.ReadUncommitted允许读取未提交数据，可能导致脏读。2.ReadCommitted避免脏读，但可能发生不可重复读。3.RepeatableRead是默认级别，避免脏读和不可重复读，但可能发生幻读。4.Serializable避免所有并发问题，但降低并发性。选择合适的隔离级别需平衡数据一致性和性能需求。

MySQL与其他数据库：比较选项Apr 15, 2025 am 12:08 AM

MySQL适合Web应用和内容管理系统，因其开源、高性能和易用性而受欢迎。1)与PostgreSQL相比，MySQL在简单查询和高并发读操作上表现更好。2)相较Oracle，MySQL因开源和低成本更受中小企业青睐。3)对比MicrosoftSQLServer，MySQL更适合跨平台应用。4)与MongoDB不同，MySQL更适用于结构化数据和事务处理。

MySQL索引基数如何影响查询性能？Apr 14, 2025 am 12:18 AM

MySQL索引基数对查询性能有显着影响：1.高基数索引能更有效地缩小数据范围，提高查询效率；2.低基数索引可能导致全表扫描，降低查询性能；3.在联合索引中，应将高基数列放在前面以优化查询。

MySQL：新用户的资源和教程Apr 14, 2025 am 12:16 AM

MySQL学习路径包括基础知识、核心概念、使用示例和优化技巧。1)了解表、行、列、SQL查询等基础概念。2)学习MySQL的定义、工作原理和优势。3)掌握基本CRUD操作和高级用法，如索引和存储过程。4)熟悉常见错误调试和性能优化建议，如合理使用索引和优化查询。通过这些步骤，你将全面掌握MySQL的使用和优化。