预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
「作者主页」:士别三日wyx
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》
预编译防止SQL注入
- 1、SQL执行过程
- 2、预编译原理
- 3、预编译防止SQL注入
- 4、预编译的局限性
先简单了解一下SQL注入的过程。
比如一个查询功能,根据用户输入的id,查询用户名和密码。
后台的SQL语句是这样的
select *from user where id='1'
如果我们在参数中提交payload
https://127.0.0.1/Less-1/?id=-1' union select 1, 2, user()-- a
后台的SQL就会拼接成这样(这里重点注意:SQL的语法结构被改变了)
select *from user where id='-1' union select 1, 2, user()-- a'
帮我们查到数据库的管理员账号,导致了SQL注入。
从注入的过程中我们可以发现,SQL注入的核心是:用户输入的参数改变了SQL的语法结构。
而预编译,可以防止语法结构被改变。在讲预编译之前,我们得先了解下SQL的执行过程。
1、SQL执行过程
以MySQL为例,数据库在执行SQL语句时,需要经历7个步骤:
- 词法分析:将SQL语句分解成一个个token(关键字、标识符、运算符),然后对token进行分类和解析,生成相应的数据结构。
- 语法分析:根据SQL语法检测规则检查语法是否正确,并成成语法树。
- 语义分析:遍历语法树,确定表和列等信息,同时检查语义的正确性。
- 优化处理:使用优化器对SQL语句进行处理和优化,比如执行计划、索引等。
- 执行计划:使用执行计划生成器生成SQL语句的执行计划,比如数据的访问方式,索引的使用方式等。
- 引擎执行:将执行计划发送给相应的数据库引擎进行处理,执行计划被翻译成底层的操作指令,执行数据扫描、索引查找、排序、分组等操作。
- 返回数据:将执行结果返回给客户端,比如查询结果集或操作结果。
在这里,我们粗暴的把执行过程理解成两步,即:先编译SQL语法结构(1~3步),再执行SQL语句(4~7步)。
正常情况下,用户输入的参数会直接参与SQL语法的编译,而预编译则是先构建语法树,确定SQL语法结构以后,再拼接用户的参数。
2、预编译原理
预编译最初的目的是提高代码的复用性,因为有很多只有参数值不同的SQL(完全相同的SQL会从缓存里查),比如:
select * from user where id='1'
select * from user where id='2'
这些SQL的语法树相同,但每次都要进行重复的编译,很浪费时间。
而预编译可以将SQL语句模板化,值的位置用占位符替代,这样数据库就会事先编译好SQL语法结构,等真正调用的时候,再传入值执行,省掉了重复建立语法树的时间。
select * from user where id={占位符}
通过抓包来看,SQL语句先被预编译(Prepare Statement),参数值先用占位符替代。等执行(Execute Statement)的时候,再传入参数。
用户传入的参数不参与语法树的构建,就改不了SQL的语法结构,也就避免了注入。
扩展:
PHP的PDO(PHP Data Object)是操作多种数据库的统一接口,提供了两种预编译机制:本地预编译和模拟预编译。
本地预编译是指数据库自身进行预编译,也是我们这里提到的预编译方式。
模拟预编译则用于那些不支持预编译的数据库,本质上是在底层先对用户的输入进行转译,再对SQL语句进行拼接,然后把完整的SQL语句发给数据库执行。
转译后的参数只会当做字符串处理,无法参与SQL的编译(在PHP 5.3.6前,使用单字节字符集转译,存在单字节注入)正确设置字符集,也可以防止SQL注入。
3、预编译防止SQL注入
以 MyBatis(半自动化的持久层框架)为例,#{id}这种格式传参,会先把SQL传给数据库进行预编译,等调用的时候,再用参数替换掉占位符,然后执行。
<select id="getUser" resultType="Blog" parameterType=”int”>SELECT *FROM userWHERE id=#{id}
</select>
但有些SQL需要使用动态表名和列名,这种时候就不能使用预编译了,需要把#{id}换成${id},这样参数就会直接参与SQL编译,无法防止SQL注入,这时候就要手动过滤参数了。
提示:MyBatis框架的预编译,是JDBC中的PreparedStatement类在起作用,它的对象包含了编译好的SQL语句。
PHP中使用MySQL的预编译功能:
1)定义预编译的SQL语句,参数用占位符 ? 表示
$sql = "SELECT * FROM user WHERE id= ? ";
2)创建预处理对象
$mysqli_stmt = $mysqli->prepare($sql);
3)绑定参数
$mysqli_stmt->bind_param('i', $id);
4)绑定结果集
$mysqli_stmt->bind_result($username);
5)执行
$mysqli_stmt->execute();
4、预编译的局限性
预编译的机制是先编译,再传值,用户传递的参数无法改变SQL语法结构,从根本上解决了SQL注入的问题。
但并不是所有参数都可以使用预编译,比如动态表名和列名的场景,因为语义分析时,会解析语法树,检查表名和列名是否存在,所以表名和列名不能被占位符替代,也就没法使用预编译。
同理,排序场景的ASC/DESC也需要动态传参,不能使用预编译。
相关文章:
预编译为什么能防止SQL注入?一看你就明白了。预编译原理详解
「作者主页」:士别三日wyx 「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者 「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》 预编译防止SQL注入 1、SQL执行过程2、预编译原理3、…...
【7z密码】7z压缩包密码忘记了,怎么办?i
7z压缩包设置了密码,解压的时候就需要输入正确对密码才能顺利解压出文件,正常当我们解压文件或者删除密码的时候,虽然方法多,但是都需要输入正确的密码才能完成。忘记密码就无法进行操作。 那么,忘记了7z压缩包的密码…...
部署云MYSQL(在线版)
在Methodot - 您的一站式云原生在线开发协作平台网站上可以部署免费的MYSQL,在应用商店里能看到可以搭建多种数据库:(前提是要注册登录,免费版只能是2人共享) 登陆好后,点击工作台,选择应用商店…...
Gin 框架 解决 跨域问题
Gin 框架解决跨域问题 一点废话 在学习 Axios 的时候发现 up 使用了一个网址来提供 json 数据。因为不想加什么公众号搞啥百度网盘的,然后又刚好会一点点 go,就想着自己用 gin 框架返回一个 json 到前端页面然后从这个页面获取 json 。 这是我的go代码…...
【Datawhale课程笔记-简单学点大模型】大模型的能力
大模型的能力 参考GITHUB:https://github.com/datawhalechina/so-large-lm/blob/main/第二章:大模型的能力.md 深入探讨GPT-3——这个具有代表性的大型语言模型的能力。我们的研究主要基于GPT-3论文中的基准测试,这些测试包括: …...
git使用说明
目录 前言1.安装1.1. windows1.1.1.git客户端1.1.2.配置git客户端1.1.3.安装TortoiseGit图形客户端1.1.4 关于文件换行问题 1.2.ubuntu1.2.1.ubuntu终端Git中文乱码1.2.2 git log中文乱码解决 2.建立版本库2.1.下载网上开源版本库2.1.1.复制下载地址2.1.2.使用命令行…...
【PowerQuery】PowerBI Pro账户的自动刷新
在数据和模型通过发布或者上传方式上传到PowerBI Pro中,如何来进行数据刷新呢?数据源依然在本地,而数据模型已经发布到PowerBI Pro云端服务中。如果数据源更新,我们的模型如何进行自动刷新呢? PowerBI Pro如果需要基于本地数据源更新进行模型更新需要部署相应的数据网关服…...
红黑树(思维导图详解版)
目录 资源已上传 实现代码 测试代码 资源已上传 部分图片 实现代码 注意判断是否为红黑树的代码实现,实现代码中红黑树的删除 #pragma once #include<iostream> using namespace std;enum Color_Type {Red,Black };template<class K,class V> str…...
javafx学习记录
1.布局 2.选择重写或实现方法(select methods to override/implements) ctrl o 3.javafx有init方法,start方法,stop方法 4.定义一个按钮,使用系统默认浏览器访问网站 5.使窗口的关闭栏,缩小扩屏栏,代码是倒数第二行 6.设置模态窗口,默认关闭模态的 下…...
友善Nona Pi开发板ubuntu22.04系统用Python3.8.17的pip安装PyQt5.15.2时报错“Q_PID”这个宏未定义的一种解决办法
安装命令: pip install PyQt55.15.2 --config-settings --confirm-license --verbose -i https://mirrors.aliyun.com/pypi/simple/ 遇到出错: 如图: 分析具体错误内容: These bindings will be built: Qt, QtCore, QtNetwo…...
HTML中name和class,id的区别和联系
在HTML中,name、class和id是用于标识和选择元素的属性。 区别: name属性:用于标识表单元素,特别是在提交表单时,用于识别表单数据。name属性可以在同一表单中的多个元素中重复使用。class属性:用于为一个…...
—Maps、Multisets、Multimaps)
Google 开源库Guava详解(集合工具类)—Maps、Multisets、Multimaps
一、Maps Maps有许多很酷的实用程序,值得单独解释。 1、uniqueIndex Maps.uniqueIndex(Iterable,Function)解决了一个常见的情况,即有一堆对象,每个对象都有一些唯一的属性,并希望能够根据该…...
肖sir__mysql之介绍__001
mysql之介绍 一、认识数据库 (1)什么是数据库? 是存放数据的电子仓库。以某种方式存储百万条,上亿条数据,供多个用户访问共享。 如: (2)数据库分关系型数据库和非关系型数据库 a、…...
【实战项目开发技术分享】如何设置机器人禁行区/虚拟墙
文章目录 前言一、代价地图自定义图层1.1 Costmap组成1.2 costmap_2d1.3 实现过程1.3.1 安装插件1.3.2 在costmap_2d中插入障碍物1.3.3 修改launch文件1.3.4 设置障碍物坐标参数二、图像编辑器2.1 安装GIMP2.1.1 命令行方式安装2.1.2 使用图形界面安装GIMP:2.2 实现过程三、ro…...
每日一题~中序后序遍历构造二叉树
原题链接:106. 从中序与后序遍历序列构造二叉树 - 力扣(LeetCode) 题目描述: 思路分析: 后序遍历分析图 中序遍历分析图 不难看出后序遍历的结果中的最后一个元素就是根节点,倒数第二个元素则是根节点的…...
Sentinel整合Gateway
pom引入依赖<dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-starter-alibaba-sentinel</artifactId> </dependency> <dependency><groupId>com.alibaba.cloud</groupId><artifactId>…...
线性dp,优化,272. 最长公共上升子序列
272. 最长公共上升子序列 - AcWing题库 熊大妈的奶牛在小沐沐的熏陶下开始研究信息题目。 小沐沐先让奶牛研究了最长上升子序列,再让他们研究了最长公共子序列,现在又让他们研究最长公共上升子序列了。 小沐沐说,对于两个数列 A 和 B&…...
基于Java+SpringBoot+Vue+uniapp点餐小程序(包含协同过滤算法和会员系统,强烈推荐!)
校园点餐小程序 一、前言二、我的优势2.1 自己的网站2.2 自己的小程序(小蔡coding)2.3 有保障的售后2.4 福利 三、开发环境与技术3.1 MySQL数据库3.2 Vue前端技术3.3 Spring Boot框架3.4 微信小程序 四、功能设计4.1 系统功能结构设计4.2 主要功能描述 五…...
)
ActiveMQ面试题(二)
文章目录 前言一、死信队列二、ActiveMQ 中的消息重发时间间隔和重发次数吗?总结 前言 死信队列ActiveMQ 中的消息重发时间间隔和重发次数吗? 一、死信队列 如果你想在消息处理失败后,不被服务器删除,还能被其他消费者处理或重试…...
)
解决Oracle SQL语句性能问题——SQL语句改写(in、not in、exists及not exists)
8. in改为join in为Oracle数据库支持的条件语法,该语法会使得代码看起来思路清晰,逻辑分明。该语法有时也会导致SQL语句产生次优的执行计划,而导致SQL语句的性能问题。因此,为了解决相关SQL语句的性能问题,有时我们需要通过join来改写和消除in,具体改写方法如下所示。 …...
Kratos MCP:为AI编程助手构建持久化项目记忆库的实践指南
1. 项目概述:告别重复解释,让AI拥有持久记忆如果你和我一样,深度依赖Claude、Cursor这类AI编程助手来构建项目,那你一定经历过这个令人沮丧的循环:昨天你花了半小时向AI详细解释了整个项目的架构设计、核心模块的交互逻…...
从SIM卡密钥泄露事件看移动通信安全:供应链攻击与纵深防御
1. 事件背景与核心问题剖析2015年初,一则来自《The Intercept》的报道在信息安全领域投下了一颗重磅炸弹。报道基于爱德华斯诺登提供的文件披露,美国国家安全局(NSA)和英国政府通信总部(GCHQ)曾联合执行了一…...
别只盯着‘外挂’:聊聊YOLOv5在FPS游戏中的另类应用与伦理边界
YOLOv5在FPS游戏中的创新应用与伦理思考:超越外挂的技术边界 当计算机视觉遇上电子竞技,技术的光谱往往在"作弊工具"与"创新赋能"之间摇摆。YOLOv5作为当前最轻量高效的目标检测框架之一,正在游戏产业引发一场静悄悄的革…...
如何3步掌握FancyZones:终极窗口管理秘籍
如何3步掌握FancyZones:终极窗口管理秘籍 【免费下载链接】PowerToys Microsoft PowerToys is a collection of utilities that supercharge productivity and customization on Windows 项目地址: https://gitcode.com/GitHub_Trending/po/PowerToys 想要让…...
大模型落地卡点全破解:奇点智能大会实测的7款工程化工具深度对比
更多请点击: https://intelliparadigm.com 第一章:大模型工程化工具推荐:奇点智能大会 在2024年奇点智能大会上,多家前沿AI基础设施团队联合发布了面向大模型全生命周期的开源工程化工具链。这些工具聚焦于模型微调、推理优化、可…...
超150位全球AI一线技术专家齐聚巴黎,这场大会到底聊了些什么?|GOSIM Paris 2026圆满收官
作者 | GOSIM出品 | CSDN(ID:CSDNnews)随着大模型进入工程化阶段,行业关注点正在从“模型能力突破”转向“如何稳定、低成本、长期运行”。与此同时,以 OpenClaw 为代表的智能体框架持续升温,AI 自动执行任…...
如何解锁MacBook Touch Bar在Windows下的完整功能:终极跨系统驱动方案
如何解锁MacBook Touch Bar在Windows下的完整功能:终极跨系统驱动方案 【免费下载链接】DFRDisplayKm Windows infrastructure support for Apple DFR (Touch Bar) 项目地址: https://gitcode.com/gh_mirrors/df/DFRDisplayKm MacBook Touch Bar Windows驱动…...
基于MCP与Cloudflare Workers构建AI编程助手的长期记忆系统
1. 项目概述 如果你和我一样,每天都要和 Claude、ChatGPT、Cursor 这些 AI 编程助手打交道,那你一定也受够了它们“金鱼般”的记忆力。昨天刚花半小时解释清楚的项目架构,今天再问,它又得从头开始理解;上周踩过的一个…...
)
不只是Try-Catch:给SAP ABAP函数Exception消息加上多语言‘外挂’(附代码)
不只是Try-Catch:给SAP ABAP函数Exception消息加上多语言‘外挂’(附代码) 在SAP系统开发中,函数模块的异常处理一直是开发者需要面对的挑战之一。特别是当系统需要支持多语言环境时,如何确保终端用户看到的错误信息是…...
淘宝自动化脚本taojinbi:解放双手的智能任务管理方案
淘宝自动化脚本taojinbi:解放双手的智能任务管理方案 【免费下载链接】taojinbi 淘宝淘金币自动执行脚本,包含蚂蚁森林收取能量,芭芭农场全任务,解放你的双手 项目地址: https://gitcode.com/gh_mirrors/ta/taojinbi 淘宝自…...