数据库的预编译(Prepared Statement)是一种数据库查询优化技术,在预编译中,可以先先提交带占位符的 SQL ,MySQL 先将其编译好,然后用户再拿着SQL中定义的占位符对应的参数让 MySQL 去执行。
当一个SQL被预编译之后,预编译的SQL模板中的占位符,比如问号(?),是作为参数的位置标记存在的,而不是作为SQL语句的一部分。无论用户输入什么样的参数,这些参数都会被视为数据,而不会被解释为SQL语句的一部分。
也就是说,用户输入的恶意代码会被当作普通的数据处理,而不会被解释为SQL语句的一部分。如果恶意注入的内容打破了SQL语句的语法结构,数据库可能会在执行阶段产生语法错误,导致查询无法成功执行。这实际上是数据库系统试图解析预编译模板时的结果,因为预编译模板本身的语法是固定的。
举一个简单的例子,加入我们有一个原始SQL:
// 原始查询模板
$sql = "SELECT * FROM users WHERE username = ?";当用户输入恶意代码尝试进行SQL注入:
$userInput = "hollis'; DROP TABLE users; --";用户期望最终这个SQL变成:
SELECT * FROM users WHERE username = 'hollis'; DROP TABLE users; --'会导致数据表被删除。那么,如果用了预编译之后,就不会出现这种问题了。
预编译过程如下:
PREPARE stmt FROM 'SELECT * FROM users WHERE username = ?';EXECUTE stmt USING @userInput;DEALLOCATE PREPARE stmt;在这种情况下,用户输入包含对SQL注入的尝试(hollis'; DROP TABLE users; --)。然而,由于预处理语句和参数绑定,这个输入被视为字符串而不是可执行的SQL代码。实际执行的查询是:
SELECT * FROM users WHERE username ='hollis\'; DROP TABLE users; --'那么也就是说,用户输入的整个部分,都作为字符串的一部分了,会去数据库中查询username为hollis\'; DROPTABLE users; --的用户,这有效的避免了SQL注入。
Java中使用预编译
在Java中,PreparedStatement是java.sql包中的一个接口,用于执行带有预编译参数的SQL语句。它是Statement接口的子接口,提供了更强大、更安全的SQL执行机制。
以下是使用PreparedStatement的简单用法,可以有效的避免SQL注入:
// 用户输入(可能是恶意输入)
String userInput = "hollis'; DROP TABLE users; --";// 原始查询模板
String sql = "SELECT * FROM users WHERE username = ?";// 使用PreparedStatement进行预编译
try (PreparedStatement preparedStatement = connection.prepareStatement(sql)) {// 绑定参数preparedStatement.setString(1, userInput);// 执行查询try (ResultSet resultSet = preparedStatement.executeQuery()) {// 处理结果(简化起见,只是输出)while (resultSet.next()) {System.out.println(resultSet.getString("username"));}}
} catch (SQLException e) {e.printStackTrace();
}
