问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

参数化查询为什么能够防止SQL注入

发布网友 发布时间:2022-04-23 12:38

我来回答

2个回答

热心网友 时间:2022-04-08 00:32

首先:我们要了解SQL收到一个指令后所做的事情:

具体细节可以查看文章:Sql Server 编译、重编译与执行计划重用原理

在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。

具体可能有点不一样,但大致的步骤如上所示。

接着我们来分析为什么拼接SQL 字符串会导致SQL注入的风险呢?

首先创建一张表Users:
CREATE TABLE [dbo].[Users](

[Id] [uniqueidentifier] NOT NULL,

[UserId] [int] NOT NULL,

[UserName] [varchar](50) NULL,

[Password] [varchar](50) NOT NULL,

CONSTRAINT [PK_Users] PRIMARY KEY CLUSTERED

(

[Id] ASC

)WITH (PAD_INDEX = OFF, STATISTICS_NORECOMPUTE = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS = ON, ALLOW_PAGE_LOCKS = ON) ON [PRIMARY]

) ON [PRIMARY]

插入一些数据:
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),1,'name1','pwd1');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),2,'name2','pwd2');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),3,'name3','pwd3');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),4,'name4','pwd4');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),5,'name5','pwd5');

假设我们有个用户登录的页面,代码如下:

验证用户登录的sql 如下:
select COUNT(*) from Users where Password = 'a' and UserName = 'b'

这段代码返回Password 和UserName都匹配的用户数量,如果大于1的话,那么就代表用户存在。

本文不讨论SQL 中的密码策略,也不讨论代码规范,主要是讲为什么能够防止SQL注入,请一些同学不要纠结与某些代码,或者和SQL注入无关的主题。

可以看到执行结果:

这个是SQL profile 跟踪的SQL 语句。

注入的代码如下:
select COUNT(*) from Users where Password = 'a' and UserName = 'b' or 1=1—'

这里有人将UserName设置为了 “b' or 1=1 –”.

实际执行的SQL就变成了如下:

可以很明显的看到SQL注入成功了。

很多人都知道参数化查询可以避免上面出现的注入问题,比如下面的代码:
class Program
{
private static string connectionString = "Data Source=.;Initial Catalog=Test;Integrated Security=True";

static void Main(string[] args)
{
Login("b", "a");
Login("b' or 1=1--", "a");
}

private static void Login(string userName, string password)
{
using (SqlConnection conn = new SqlConnection(connectionString))
{
conn.Open();
SqlCommand comm = new SqlCommand();
comm.Connection = conn;
//为每一条数据添加一个参数
comm.CommandText = "select COUNT(*) from Users where Password = @Password and UserName = @UserName";
comm.Parameters.AddRange(
new SqlParameter[]{
new SqlParameter("@Password", SqlDbType.VarChar) { Value = password},
new SqlParameter("@UserName", SqlDbType.VarChar) { Value = userName},
});

comm.ExecuteNonQuery();
}
}
}

实际执行的SQL 如下所示:
exec sp_executesql N'select COUNT(*) from Users where Password = @Password and UserName = @UserName',N'@Password varchar(1),@UserName varchar(1)',@Password='a',@UserName='b'
exec sp_executesql N'select COUNT(*) from Users where Password = @Password and UserName = @UserName',N'@Password varchar(1),@UserName varchar(11)',@Password='a',@UserName='b'' or 1=1—'

可以看到参数化查询主要做了这些事情:
1:参数过滤,可以看到 @UserName='b'' or 1=1—'
2:执行计划重用

因为执行计划被重用,所以可以防止SQL注入。

首先分析SQL注入的本质,

用户写了一段SQL 用来表示查找密码是a的,用户名是b的所有用户的数量。

通过注入SQL,这段SQL现在表示的含义是查找(密码是a的,并且用户名是b的,) 或者1=1 的所有用户的数量。

可以看到SQL的语意发生了改变,为什么发生了改变呢?,因为没有重用以前的执行计划,因为对注入后的SQL语句重新进行了编译,因为重新执行了语法解析。所以要保证SQL语义不变,即我想要表达SQL就是我想表达的意思,不是别的注入后的意思,就应该重用执行计划。

如果不能够重用执行计划,那么就有SQL注入的风险,因为SQL的语意有可能会变化,所表达的查询就可能变化。

在SQL Server 中查询执行计划可以使用下面的脚本:
DBCC FreeProccache

select total_elapsed_time / execution_count 平均时间,total_logical_reads/execution_count 逻辑读,
usecounts 重用次数,SUBSTRING(d.text, (statement_start_offset/2) + 1,
((CASE statement_end_offset
WHEN -1 THEN DATALENGTH(text)
ELSE statement_end_offset END
- statement_start_offset)/2) + 1) 语句执行 from sys.dm_exec_cached_plans a
cross apply sys.dm_exec_query_plan(a.plan_handle) c
,sys.dm_exec_query_stats b
cross apply sys.dm_exec_sql_text(b.sql_handle) d
--where a.plan_handle=b.plan_handle and total_logical_reads/execution_count>4000
ORDER BY total_elapsed_time / execution_count DESC;

热心网友 时间:2022-04-08 01:50

参数化查询主要:
1:参数过滤,
2:执行计划重用
因为参数化查询可以重用执行计划,并且如果重用执行计划的话,SQL所要表达的语义就不会变化,所以就可以防止SQL注入
防御sql注入的方法有哪几种

首先,参数化查询是一种非常有效的防止SQL注入的方法。在这种方法中,SQL语句的编写方式使得攻击者无法改变SQL语句的结构。例如,在Java的JDBC中,我们可以使用PreparedStatement来执行参数化查询。这种方式的好处是,即使用户输入的数据中包含SQL语句的一部分,它也只会被当作参数处理,而不会改变SQL语句的原...

如何防止sql注入

1.使用参数化查询或预编译语句。这种方法是预防SQL注入最有效的手段之一。在应用程序中,使用参数化查询可以避免直接将用户输入嵌入到SQL语句中,从而防止攻击者通过输入恶意代码来操纵SQL语句的结构。预编译语句也具备类似的功能,可以确保数据在传输到数据库之前已经过适当处理,不易被篡改。因此开发者应避免...

参数化查询为什么能够防止SQL注入

因为参数化查询可以重用执行计划,并且如果重用执行计划的话,SQL所要表达的语义就不会变化,所以就可以防止SQL注入,如果不能重用执行计划,就有可能出现SQL注入,存储过程也是一样的道理,因为可以重用执行计划。

SQL资料隐码攻击避免方法

在构建应用程序时,务必采用参数化查询(Parameterized Query)来处理数据访问功能,这是避免SQL资料隐码攻击的关键步骤。这种方法可以确保输入参数直接传递给数据库,而非作为SQL语句的一部分,从而防止恶意输入被解析为SQL命令。在构建SQL字串时,要特别注意传入的参数,确保将其内的单引号字符替换为两个连续...

参数化查询原理

相比于因为SQL注入漏洞而可能带来的严重后果,如数据泄露或系统瘫痪,参数化查询的额外开发成本通常是微不足道的。总的来说,尽管短期内可能需要更多的编程工作来适应参数化查询,但从长远的安全角度来看,这是值得投资的预防措施。它确保了数据的安全,降低了潜在的风险,维护了系统的稳定和完整性。

如何使用参数化查询提高Cypher查询的性能

首先,由于查询计划生成器会根据参数值生成特定的查询计划,而非每次都从头开始,所以即使面对多个用户输入相同的查询,数据库只需编译一次,多次执行时可以直接利用缓存,避免重复编译的开销。例如,对比使用参数化查询前后的查询每秒处理请求数(QPS),可以看到性能提升幅度显著,达到2-8倍。查询计划生成是...

php如何防止sql注入?

防止SQL注入的关键在于避免直接将用户的输入插入到SQL查询字符串中,因为这样使得攻击者能够操纵查询,从而进行注入攻击。例如,如果用户输入的是 `'); DROP TABLE table;--`,那么最终的SQL语句将变成 `DROP TABLE table;`,这将导致表被删除。要避免这种情况,需要采用准备语句和参数化查询。这种方法将...

参数化索引是什么意思?

使用参数化索引可以有效地提高数据库的安全性。在一些情况下,我们需要将敏感数据存储在数据库中。使用参数化索引可以对输入数据进行验证和清理,从而避免了SQL注入攻击。此外,参数化索引还可以帮助我们避免常见的SQL错误,如错误的类型转换和数据提取方式不正确等。参数化索引还可以提高查询效率。当我们使用...

thinkjs防止sql注入

1、参数化查询:使用参数化查询可以防止SQL注入攻击。在ThinkJS中,可以使用think.model对象的db方法或think.adapter.db方法来执行参数化查询。2、过滤用户输入:在接收用户输入数据时,应该对输入数据进行过滤,如过滤掉单引号、双引号等特殊字符。3、数据库权限控制:为了防止SQL注入攻击,应该限制数据库...

如何彻底防止SQL注入?

1、对,限制用户输入肯定有效 2、应该也可以做到,但正则不是一种高效的方法,用HtmlEncode的方法可以有效防止空格等被DBMS解释,但注意别把编码、解码搞反了;存储过程是DBMS执行的一段程序,把数据操纵交给存储过程执行,而不是提交SQL语句,可以有效防止SQL注入。3、地址栏的Sql攻击,下面我引用了一段...

怎么防止js注入 如何防止数据库注入 js防止sql注入防范 op怎么注入参数 注解参数动态注入 带参数的类不能注入容器 Sql注入参数 防止dll注入 如何防止mysql注入
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
重庆红岩广场美食攻略:重庆红岩景点? 什么是红岩味 PPT怎么把幕布调小ppt怎么设置幕布拉开的效果 红岩洞老火锅哪家最好吃 血常规白细胞高的原因 生日快乐英文怎么写,求大神 迅游加速器下载,2020永久VIP破解版软件介绍_迅游加速器下载,2020永久VIP... 请问‘生日快乐’的英文怎么写? ...有什么网游加速器吗 不需要VIP就可以加速的 ...你不用他不减时间的。不是跟视频vip一样的那种? 什么物流寄大件便宜?除了安能和德邦 从广西南宁发三百公斤真石漆到四川凉山,物流费要多少钱 大件行李从南宁广西大学寄快递到长沙哪家快递比较便宜 想寄大件,用德邦物流。共四件,共50kg。从广西南宁到广西北海,距离30 请问现在南宁发一件约50斤左右重的货到桂林平乐要多少运费? 寄家电用什么物流便宜? 广西南宁到深圳寄大件用什么快递便宜? 寄大件货物哪一家快递公司比较好求推荐? mybatis 为什么可以防止sql注入 寄大件用什么物流便宜?南宁寄大件哪家最便宜,黑龙江省多少钱一公斤_百度问一问 java.sql.RowId setrowid select * from a order by ? 如何注入 SQL注入语句求指教 sql注入问题 order by 语句 后面 为什么要加那个-- 和/* 语句 很糊涂... mybatis的#和$的区别以及order by注入问题 网站sql注入 order by 11 sql注入 and 确认了注入点,但order by 无论多少都不会报错 是什么原因? mybatis中#和$的区别及order by的sql注入问题 sql注入中order by的作用 SQL注入时,使用order by x命令,其中X表示什么意思? 热水器多久清理一次最好?该如何清理呢? 南宁西乡塘客运站可以寄放大件行李多久,可以连续放几天吗? mybatis在传参时,为什么#能够有效的防止sql注入 寄大件用什么快递便宜? 邮寄大件东西用什么快递或者物流比较便宜? 大专有学摄影的专业吗 摄影专业学校有哪些专科 摄影专业的大专院校 四川省摄影专科院校有那些? 摄影专业在大专的学校有吗? 专科有摄影专业吗 大专读摄影摄像怎么样有前途吗 哪些专科大学有摄影专业哪些大学有摄影专业 有没有学摄影的专科学校? 大专有摄影专业吗 大专学摄影 出来能干什么工作 想报考摄影大专学校 想上个大专又想学摄影,不知道有没有这个专业的学校? 学摄影要大专以上文凭吗?拜托各位大神 广东有没有大专里有摄影专业? 河南内有学摄影专业的专科吗