sql参数绑定

最新推荐文章于 2024-04-10 11:22:06 发布
原创 最新推荐文章于 2024-04-10 11:22:06 发布 · 4.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库

本文介绍了SQL参数绑定的重要性,这是一种防止SQL注入的有效方法。详细阐述了如何在PHP中使用PDO函数进行参数绑定,并提醒开发者避免使用高危的SQL函数和关键字,以及禁用SQL注释,以确保系统的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

参数绑定就是绑定一个PHP变量到用作预处理的SQL语句中的对应命名占位符或问号占位符。可以有效的防止SQL注入。
注:要求无论何时尽量使用参数绑定的形式来构建SQL语句

在系统中直接运行SQL语句操作数据库的函数(pdo_fetch()pdo_fetchall()pdo_fetchcolumn()pdo_query())需要开发人员手动绑定参数,以 pdo_fetch() 函数为例:

$row = pdo_fetch("SELECT * FROM ".tablename('users')." WHERE username = :username", array(':username' => '米粥'));
  • 上例中 :username 参数占位符,系统中只支持 :var 以冒号+变量名的占位符
  • 第二个参数中 ':username' 对应的值,则为要传入的真正的值 
$row = pdo_fetch("SELECT * FROM ".tablename('users')." WHERE username LIKE :username", array(':username' => '%米%'));
  • 上例中演示如何绑定Like查询 
$row = pdo_query("DELETE FROM ".tablename('users')." WHERE uid = :uid", array(':uid' => '1'));
$row = pdo_query("DELETE FROM ".tablename('users')." WHERE uid IN (:uid_1, :uid_2, :uid_3)", array(':uid_1' => '1', ':uid_2' => '2', ':uid_3' => '3'));

禁用高危SQL函数、表达式

在微擎系统中,为了保证SQL注入安全,系统还禁用了一些SQL语句中高危的表达式、函数,开发者在开发模块时,尽量不要使用以下关键字。

禁用函数

  • load_file
  • hex
  • substring
  • if
  • ord
  • char
  • updatexml

禁用关键字

  • @
  • into outfile
  • into dumpfile
  • union select
  • union all
  • union distinct

禁用一切SQL注释

  •  /*
  •  */
  •  #
  •  –
  • 希望大家多多指教!!!
MyBatis详解-----接口的传参与sql中的参数绑定方式
qq_40941100的博客
05-06 701
在mybatis中通过接口向sql中传参有多种形式,在开发过程中我们可以根据需求或者自己的习惯方式来进行选择。 pojo传参 当接口方法的参数类型为POJO类型时,SQL语句中绑定参数时使用 #{POJO的属性名} 即可。 pojo实体类 //pojo传参时要给属性添加get和set方法 public class PageQuery { private int startIndex; private int pageSize; } 接口内容 //使用pojo传参 Li
带你学习Mybatis之Sql绑定
Lxn2zh的博客
06-16 496
实现了InvocationHandler接口,是接口的代理类,主要看invoke()方法,如果是接口,会调用cachedInvoker()方法生成代理类MapperMethodInvoker去执行。在mybatis中定义一个接口,然后在mapper.xml文件中编写一个sql语句,在执行该接口中方法的时候就会执行该sql语句,这是怎么做到的呢?MapperMethod中封装了Mapper接口对应的方法的信息,以及对应SQL语句的信息。SqlCommandType记录了SQL语句的类型。
SQL参数绑定
weixin_30765505的博客
04-25 173
参数绑定的详细介绍和使用方法详见 什么是SQL绑定变量,如何实现绑定变量? 本人在参数绑定应用中发现效率差别巨大 同样的查询语句执行1w次,用绑定参数方式只需10s,无绑定则用46m31s。 通过搜索发现参数绑定还可以解决sql注入获取密码的问题,参见下面的博客, 绑定参数原理以及SQL注入.. 转载于:https://www.cnblogs.com/maggie/p/36...
绑定参数SQL
jangta的专栏
06-07 231
引自:http://www.iteye.com/topic/159 Java代码 select sql_text ,sharable_mem from v$sql where sharable_mem > '100000' order by sharable_mem ;    select sql_text ,sharable_mem from v$sql...
拼接sql语句参数绑定
weixin_30835649的博客
04-12 322
/** * 事务封装方法 * @access public * @param array $sqls 要执行的sql数组或语句 * @return boolean */ public function transExecuteSql($sqls, $vals) { try { $this->startTran...
mybatis 动态sql中各种参数形式的绑定传递
dugemen的博客
03-29 970
mybatis 动态sql中各种参数形式的绑定传递 在mybatis的Mapper中 动态sql中各种参数形式的绑定传递 1.基本类型:单个 或者 多个 单个参数的传递声明:parameterType="java.lang.Integer" int delStu(Integer id); <delete id="delStu" parameterType=...
动态SQL中的绑定变量——参数模式、占位符以及NULL值的处理
keven2840的博客
09-07 4224
今天接着来学习DNS语句(原生动态SQL),学习有关绑定变量或绑定参数的使用规则。 参数模式 绑定参数可以有3种模式: IN            只读值(默认模式) OUT        只允许写 IN OUT   可以读取输入的值,也可以把值传递出去 当我们执行动态S查询时,所有绑定参数必须是IN模式,除非我们使用的是RETURNING子句,如下所示: PROCEDU
DBever去掉执行SQL时的参数检查
优快云wangyi的博客
12-19 3115
选中要执行的SQL语句,右键-首选项-编辑器-SQL编辑器-SQL处理-参数,去掉两个与启用参数相关勾选的选项。
SQlite数据库的C编程接口(四) 绑定参数(Bound Parameters) ——《Using SQlite》读书笔记
斜风细雨
02-05 1万+
SQlite数据库的C编程接口(四) 绑定参数(Bound Parameters)  by斜风细雨QQ:253786989    2012-02-05   语句参数(statement parameters)是指插入到SQL命令字符串中的特殊字符,他们作为临时占位符。当一条语句在prepare之后,尚未执行之前,可以给这些占位符绑定指定的值。 参数符号(Parameter Tokens
Oracle sql参数值,OracleCommand SQL参数绑定
weixin_36274181的博客
04-02 228
我对以下参数绑定有问题。该连接有效,因为我没有使用参数对其进行了测试。但是,执行查询之前的值仍然使用’@userName’而不是’jsmith’。问题是什么?这不是解决绑定的正确方法吗?public static String GetFullName(String domainUser){DataTable dT;String fullName = "";OracleConnection db ...
使用dbeaver连接sqlserver
Python开发分享的博客
04-10 4305
软件:dbeaver-ce-5.1.5-x86_64-setup.exe。
DBeaver执行sql文件
热门推荐
weixin_51964757的博客
06-16 1万+
在执行过程中报错:ERROR 1115 (42000) at line 17: Unknown character set: 'utf8mb4' , 报错:ERROR 1064 (42000) at line 3842: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '(0) NOT
DBeaver导入csv/tsv/txt数据时参数设置
\x10\x11
01-15 6151
1
php中mysql参数绑定详解
xzchenxiao的专栏
10-17 9752
参数绑定详解 CDbCommand表示一个针对数据库执行的SQL语句,CDbCommand支持SQL语句预处理和参数绑定。 调用 bindParam 去绑定一个PHP变量到SQL中的一个参数。 调用 bindValue 去绑定一个值到一个SQL参数。 当绑定一个参数时,此SQL语句将自动准备好。 也可以调用prepare去明确的准备一条SQL语句。   参数形式: 1、 
SQL中各关键字以及DBeaver工具的使用
百世经纶『一页書』
04-25 2728
1.sql的执行顺序 2.dbeaver工具的使用
dbeaver 设置编码_录像机10大编码参数介绍
weixin_39603132的博客
11-10 870
是否常常会被指导修改录像机的编码参数?是否常常对于需要更改的参数存在疑惑,这个参数是什么?为什么需要更改?怎么更改比较合适?且听重庆监控今日为你一一解释码流类型码流类型分复合流和视频流两种。复合流:录像信息包含视频和音频;视频流:录像信息仅包含视频信息;适用场景:支持音频通道摄像机,在对应的通道上需要将视频流改成复合流分辨率分辨率:单位长度内包含的像素点的数量。在一个固定的平面内,分辨率越高,意味...
使用dbeaver时指定jvm
isaac0702的专栏
09-15 1833
dbeaver指定jvm启动
数据库工具DBeaver 操作手册
Best_to_Own的博客
01-02 9196
数据库工具DBeaver简介 免安装版.
正版数据库连接工具,DBeaver的安装与配置使用
日常分享数据分析开发、编程语言内容
08-19 1万+
DBeaver的安装与配置使用
在Mybatis中如何安全使用SQL参数绑定,并结合工作流示例解释${}和#{}的区别?
最新发布
10-31
在Mybatis的Mapper.xml文件中,安全地使用SQL参数绑定是防止SQL注入的关键。选择使用`#{}`还是`${}`取决于你的具体需求,尤其是在安全性方面。 参考资源链接:[Mybatis ${}与#{ }的区别与安全解析](https://wenku.youkuaiyun.com/doc/6412b669be7fbd1778d469fc) `{}`的使用是一种直接的字符串替换方式,它不会对传入的参数值进行任何预处理,从而可能导致SQL注入。例如,如果你的查询语句是`select * from ${tableName}`,那么恶意用户可以通过输入`' OR 1=1 -- `来执行危险的SQL命令。 相反,`#{}`提供了一种安全的参数替换方式,它利用PreparedStatement的预编译特性来防止SQL注入。当Mybatis遇到`#{}`时,它会将参数绑定SQL语句的占位符`?`上,这样就防止了SQL注入的发生。例如,使用`#{tableName}`时,Mybatis会将它转换为带有占位符的SQL语句,并在执行时用实际的参数值替换`?`。 在实际应用中,除非需要动态修改SQL语句的结构(如动态表名或列名),否则应优先选择`#{}`。例如,在使用activiti工作流框架时,可能需要根据流程实例ID来查询历史记录,可以写成`select * from ${prefix}ACT_HI_PROCINST where PROC_INST_ID_ = #{processInstanceId}`,这里`${prefix}`是一个动态的前缀,用于指定具体的表名。 综上所述,在大多数情况下,应该优先使用`#{}`来增强Mybatis应用的安全性,并且只有在绝对必要的情况下才使用`${}`。为了更深入理解这两种参数绑定方式的区别以及如何在实际开发中应用它们,建议阅读《Mybatis ${}与#{ }的区别与安全解析》这篇文章,它将提供更多的细节和实例,帮助开发者在使用Mybatis进行数据库操作时做出正确的选择。 参考资源链接:[Mybatis ${}与#{ }的区别与安全解析](https://wenku.youkuaiyun.com/doc/6412b669be7fbd1778d469fc)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值