为什么预处理和参数化查询可以防止sql注入呢?

本文介绍MySQL 5.1之后引入的预处理参数化查询技术,该技术通过分离SQL语句与参数的方式有效防止SQL注入攻击。文章详细解释了预处理的工作原理,并对比传统拼接方式突显其安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在传统的写法中,sql查询语句在程序中拼接,防注入(加斜杠)是在php中处理的,然后就发语句发送到mysql中,mysql其实没有太好的办法对传进来的语句判断哪些是正常的,哪些是恶意的,所以直接查询的方法都有被注入的风险。
在mysql5.1后,提供了类似于jdbc的预处理-参数化查询。它的查询方法是:

1.先预发送一个sql模板过去
2.再向mysql发送需要查询的参数


就好像填空题一样,不管参数怎么注入,mysql都能知道这是变量,不会做语义解析,起到防注入的效果,这是在mysql中完成的。

参考:https://segmentfault.com/a/1190000008117968 (php操作mysql防止sql注入(合集))

转载于:https://www.cnblogs.com/gavinyyb/p/9511789.html

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值