数据库服务器不会将参数的内容视为SQL指令的一

时间:2020-01-05 04:33来源:美高梅手机游戏网站
在进行查询或者其他操作时候 对字符串进行转义操作 $query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'",                    mysql_real_escape_string($Username),     

在进行查询或者其他操作时候 对字符串进行转义操作
$query = sprintf("SELECT * FROM Users where UserName='%s' and Password='%s'", 
                  mysql_real_escape_string($Username), 
                  mysql_real_escape_string($Password));
mysql_query($query);
或是是内置函数进行
$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();

参数化查询(Parameterized Query 或 Parameterized Statement)是指在设计与数据库链接并访问数据时,在需要填入数值或数据的地方,使用参数 (Parameter) 来给值,这个方法目前已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式。

mysql_real_escape_string

原理:

mysql_real_escape_string - 转义特殊字符在一个SQL语句中使用的字符串

在使用参数化查询的情况下,数据库服务器不会将参数的内容视为SQL指令的一部份来处理,而是在数据库完成 SQL 指令的编译后,才套用参数运行,因此就算参数中含有恶意的指令,由于已经编译完成,就不会被数据库所运行。 有部份的开发人员可能会认为使用参数化查询,会让程序更不好维护,或者在实现部份功能上会非常不便,然而,使用参数化查询造成的额外开发成本,通常都远低于因为SQL注入攻击漏洞被发现而遭受攻击,所造成的重大损失。

字符串 mysql_real_escape_string( 字符串 $ unescaped_string [, 资源 $ link_identifier])

 

.转义特殊字符unescaped_string,考虑到当前字符集的连接,以便它是安全的放置在mysql_query它()。如果二进制数据将被插入,这个函数必须使用。

在撰写 SQL 指令时,利用参数来代表需要填入的数值,例如:

调用MySQL的库函数mysql_real_escape_string,其中前添加反斜杠下列字符
此函数必须始终(少),用于制造的数据安全例外在发送查询到MySQL

Microsoft SQL Server

Microsoft SQL Server 的参数格式是以 "@" 字符加上参数名称而成,SQL Server 亦支持匿名参数 "?"。

SELECT * FROM myTable WHERE myID = @myID

INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)

nescaped_string

编辑:美高梅手机游戏网站 本文来源:数据库服务器不会将参数的内容视为SQL指令的一

关键词: