SQL参数化查询能防止SQL注入的原因是什么

这篇文章主要介绍了SQL参数化查询能防止SQL注入的原因是什么的相关知识，内容详细易懂，操作简单快捷，具有一定借鉴价值，相信大家阅读完这篇SQL参数化查询能防止SQL注入的原因是什么文章都会有所收获，下面我们一起来看看吧。

SQL参数化查询为什么能够防止SQL注入？

1、SQL 注入是什么

将 SQL 命令插入到表单提交或输入域名或页面请求的查询字符串中，欺骗服务器执行恶意的 SQL 命令。

 -- 正常的查询语句
 select * from users where username = 'a';

 -- 恶意的查询语句
 select * from users where username = 'a' or 1==1;

2、参数化查询是什么

参数化查询是指查询数据库时，在需要填入数据的地方，使用参数来给值。

set @id = 1;
SELECT * from users WHERE id = @id ;

3、SQL 语句的执行处理

SQL 语句按处理流程看有两类：即时 SQL、预处理 SQL。

• 即时 SQL

即时 SQL 从 DB 接收到最终执行完毕返回，大致的过程如下：

  a. 词法和语义解析
  b. 优化sql语句，制定执行计划
  c. 执行并返回结果

特点：一次编译，单次运行。

• 预处理 SQL

程序中某条 sql 可能会被反复调用，或者每次执行的时候只有个别的值不同。如果每次按即时 SQL 的流程来看，效率是比较低的。

这时候可以将 SQL 中的值用占位符代替，先生成 SQL 模板，然后再绑定参数，之后重复执行该语句的时候只需要替换参数，而不用再去进行词法和语义分析。可以视为 SQL 语句模板化或参数化。

特点：一次编译，多次运行，省去了多次解析等过程。（多次运行是指在同一会话中再次执行相同的语句，也就不会被再次解析和编译）

  -- 语法
  # 定义预处理语句
  PREPARE stmt_name FROM preparable_stmt;
  # 执行预处理语句
  EXECUTE stmt_name [USING @var_name [, @var_name] ...];
  # 删除(释放)定义
  {DROP | DEALLOCATE} PREPARE stmt_name;

4、预处理 SQL 是如何防止 SQL 注入的

待执行的 SQL 被编译后存放在缓存池中，DB 执行 execute 的时候，并不会再去编译一次，而是找到 SQL 模板，将参数传递给它然后执行。所以类似于 or 1==1 的命令会当成参数传递，而不会进行语义解析执行。

 -- 预处理编译 SQL ，会占用资源
 PREPARE stmt1 from 'SELECT COUNT(*) FROM users WHERE PASSWORD = ? AND user_name = ?';

 set [@a](https://learnku.com/users/16347) = 'name1 OR 1 = 1';
 set @b = 'pwd1';

 EXECUTE stmt1 USING @b,[@a](https://learnku.com/users/16347);

 -- 使用 DEALLOCATE PREPARE 释放资源
 DEALLOCATE PREPARE stmt1;

关于“SQL参数化查询能防止SQL注入的原因是什么”这篇文章的内容就介绍到这里，感谢各位的阅读！相信大家对“SQL参数化查询能防止SQL注入的原因是什么”知识都有一定的了解，大家如果还想学习更多知识，欢迎关注蜗牛博客行业资讯频道。

免责声明：本站发布的内容（图片、视频和文字）以原创、转载和分享为主，文章观点不代表本网站立场，如果涉及侵权请联系站长邮箱：niceseo99@gmail.com进行举报，并提供相关证据，一经查实，将立刻删除涉嫌侵权内容。