参数化查询为什么能够防止SQL注入

最新推荐文章于 2025-07-01 10:35:46 发布
原创 最新推荐文章于 2025-07-01 10:35:46 发布 · 6.5k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了SQL注入的原理,指出拼接SQL字符串导致的安全风险,并详细解释了参数化查询如何通过重用执行计划防止注入。通过实例展示了注入攻击过程,强调了参数化查询在保持SQL语义不变性上的关键作用,从而有效避免SQL注入。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

很多人都知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。

本文主要讲述的是这个问题,也许你在部分文章中看到过这块内容,当然了看看也无妨。

 

首先:我们要了解SQL收到一个指令后所做的事情:

具体细节可以查看文章:Sql Server 编译、重编译与执行计划重用原理

在这里,我简单的表示为: 收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划

具体可能有点不一样,但大致的步骤如上所示。

 

接着我们来分析为什么拼接SQL 字符串会导致SQL注入的风险呢

首先创建一张表Users:

CREATE TABLE [dbo].[Users](

[Id] [uniqueidentifier] NOT NULL,

[UserId] [int] NOT NULL,

[UserName] [varchar](50) NULL,

[Password] [varchar](50) NOT NULL,

 CONSTRAINT [PK_Users] PRIMARY KEY CLUSTERED 

(

[Id] ASC

)WITH (PAD_INDEX  = OFF, STATISTICS_NORECOMPUTE  = OFF, IGNORE_DUP_KEY = OFF, ALLOW_ROW_LOCKS  = ON, ALLOW_PAGE_LOCKS  = ON) ON [PRIMARY]

) ON [PRIMARY]

3F3ECD42B7A24B139ECA0A7D584CA195

 

插入一些数据:

INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),1,'name1','pwd1');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),2,'name2','pwd2');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),3,'name3','pwd3');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),4,'name4','pwd4');
INSERT INTO [Test].[dbo].[Users]([Id],[UserId],[UserName],[Password])VALUES (NEWID(),5,'name5','pwd5');

 

假设我们有个用户登录的页面,代码如下:

验证用户登录的sql 如下:

select COUNT(*) from Users where Password = 'a' and UserName = 'b
最低0.47元/天 解锁文章

200万优质内容无限畅学
邮箱服务商的接收、发送邮件服务器地址端口号
༺清风暖云༻
04-20 7万+
邮箱服务商的收、发邮件服务器地址端口号 后端开发时总是会用到邮箱开发的一些东西,那么就需要针对不同的邮箱服务商做出不同的邮件接收、发送服务器地址端口号的配置了,本文中主要介绍和记录的主要有两种邮件服务器:POP3和SMTP及其端口号(其实还有一种IMAP类型的,但是不建议使用,因为这种类型的权限太大,容易出问题),两种服务器协议分别是介绍分别如下: POP3 POP3是Post Office Protocol3的简称,即邮局协议的第3个版本,它规定怎样将个人计算机连接到Internet的邮件服务器
Smtp/POP3邮箱服务器地址端口总结(163/126/QQ
瑜众不同
01-07 7505
POP3 (Post Office Protocol - Version 3)协议用于支持使用电子邮件客户端获取并删除在服务器上的电子邮件。 IMAP (Internet Message Access Protocol)协议用于支持使用电子邮件客户端交互式存取服务器上的邮件。 SMTP (Simple Mail Transfer Protocol)协议用于支持使用电子邮件客户端发送电子邮件。
常用的邮箱服务器(SMTP、POP3)地址端口
11-30
常用的邮箱服务器(SMTP、POP3)地址端口,包括Gmail、Foxmail、QQ邮箱、Yahoo、sina、suhu、139邮箱等。
如何查找qq邮箱服务器地址
sinat_58088248的博客
01-15 1万+
1.首先进入网站:https://service.mail.qq.com 2.再问题搜索中搜索:qq邮箱pop3和smpt服务器是什么 这样就拿到了qq邮箱的smtp地址。此刻,我们用的是qq邮箱,所以搜索qq邮箱的smtp服务器地址,如果你之后想用网易邮箱,也可以搜索网易邮箱的smtp服务器地址。 ...
C++实现的QQ邮箱SSL/TLS加密SMTP通信库
最新发布
weixin_31139479的博客
07-01 1078
SSL/TLS协议工作在传输层和应用层之间,为通信双方提供端到端的安全通道。其工作原理主要包括以下几个步骤:握手阶段:客户端与服务器进行通信,交换双方所支持的加密算法,并相互验证身份。密钥交换:通过握手阶段协商的算法,双方交换用于数据加密的密钥。会话加密:确立了安全通道后,双方使用密钥进行加密会话,后续的通信内容都将被加密。QQ邮箱API允许开发者从邮件收发、邮件内容解析到邮件管理等多个方面进行编程操作。它的特点和优势主要体现在以下几个方面:开放性。
关于邮箱SSL端口
热门推荐
xinglu31的专栏
01-18 9万+
1. 163\126邮箱 网易163免费邮箱相关服务器信息:(http://help.163.com/09/1223/14/5R7P3QI100753VB8.html) (http://m.mail.163.com/xm/static/html/163_android_2.html) SMTP发件服务器地址:smtp.163.com 安全类型:SSL 端口号:465 / 99
163等各种邮箱端口号设置
菜鸟的旅途的博客
09-20 2万+
各种右相对应端口号,用于项目邮件发送
126邮件POP3,SMTP服务器端口设置
j734948791的博客
02-18 3万+
原文转载:https://yq.aliyun.com/articles/391897
Gmail,Qmail,163等邮件服务器SMTP、IMAP、POP3、地址SSL/非SSL协议端口号
AOP_LIU的博客
06-15 2万+
最近项目需要给后台发送邮件,将项目中部分信息与后台同步,于是就有了这篇博客; 以下的内容是参考网上的例子加上自己实践总结了一下。 邮箱默认配置 服务器名称 服务器地址 SSL协议端口号SSL协议端口号 IMAP imap.xx.com 99...
邮箱 email 支持 qq邮箱 ssl tls 国外大神的作品
01-26
邮箱 email 支持 qq邮箱 ssl tls 国外大神的作品,几分钟配置好,立马能用,qq邮箱用的是ssl端口465
常用邮箱服务器地址_端口号
12-02
### 常用邮箱服务器地址端口号详解 在日常工作中,我们经常需要使用到电子邮件服务来进行信息交流和文件传输。不同的电子邮件提供商拥有各自的邮件服务器,这些服务器支持SMTP(简单邮件传输协议)和POP3(邮局...
163邮箱端口
の楓葉ぱ飄淚
12-07 1301
如何查看自己的qq邮箱服务器地址,怎么看自己设置的qq邮箱帐号
weixin_34512894的博客
07-30 5510
怎么看自己设置的qq邮箱帐号卡饭网本站整理2018-10-061、QQ邮箱的格式很简单,只要在你的QQ号后面加上@qq.com 即可,只包含两部分的内容qq号码+@qq.com,这是每个qq邮箱的基本组成成份,如123@qq.com。2、为什么还要问qq邮箱格式怎么写,最大的原因还是不知道小老鼠“@”这个符号怎么写出来,其实很好写的,需要用到键盘,按住键盘Shift键和字母上面的数字2键,就可以打...
163邮箱如何开启pop服务器端口,常用邮箱SMTP/POP3地址端口
weixin_29784009的博客
07-30 1万+
以下罗列了常用的邮箱服务器地址端口,以供参考。如果官方有变动,请参阅官方数据。您也可以上网用搜索引擎查找相关资料或设置。GMAIL:接收邮件服务器: pop.gmail.com接收端口: 995(必须使用ssl)发送邮件服务器: smtp.gmail.com发送端口: 465(必须使用ssl)或者587(TLS/STARTTLS)IMAP接收邮件服务器: imap.gmail.com接收端口:...
使用163邮箱的smtp ssl端口发送邮件
anjiji1666的博客
02-21 6163
有一天,我发现报警邮件没发出来,公司以为是监控除了故障,好死不死查了大半天,却是网易smtp的25端口给封了。咨询过后说是可以使用ssl端口,“那好吧,学谁不好非要学阿里云,封就封吧,封之前也不说一声”。该抱怨的抱怨完了,还是得解决啊,还好也算简单。方法分两步,记录如下 修改mail.rc文件 vim /etc/mail.rc ###添加以下内容 set from...
qq邮箱服务器host是什么
weixin_42612405的博客
12-29 5150
QQ 邮箱服务器地址 (host) 是: 收信服务器 (POP3) : pop.qq.com 发信服务器 (SMTP) : smtp.qq.com 注意: 如果你使用的是 QQ 企业邮箱, 服务器地址可能会有所不同, 具体信息应该可以在你的 QQ 企业邮箱管理界面中找到。 另外, 在使用 QQ 邮箱服务器时, 你可能需要启用 POP3/SMTP 服务, 并且在使用这些服务时, 你可能需要使...
163网易邮箱:pop3和smtp服务器地址
qingcyb的博客
10-27 2万+
服务器地址: POP3服务器: pop.163.com SMTP服务器: smtp.163.com
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值