0

我已经对准备好的语句有了基本的了解,并且我知道它们可以防止 SQL 注入攻击。但我还没有理解为什么他们可以防止上述攻击。我知道有人问过类似的问题,但我没有找到完全令人满意的答案。

示例 - 非常不安全的代码
所以这里我们有与我们的数据库通信的最基本方式:

$query = "SELECT * FROM users where id=$username";

在没有任何保护的情况下,用户可以输入恶意代码,从而“欺骗”数据库引擎执行破坏性查询:

$username = "1; DROP TABLE users;"
SELECT * FROM users where id=1; DROP TABLE users;

我不明白的是准备好的语句如何设法“过滤掉”这些数据。它背后的机制是什么不会诱使数据库生成如上所示的 SQL 查询?就像转义某些字符一样简单,例如上面示例中的分号,还是更复杂?

如果我要像示例中那样进行精确的注入攻击,但通过准备好的语句运行它,什么样的命令字符串会到达数据库引擎?

4

3 回答 3

1

准备好的语句不只是添加文本,它们将其作为数据发送,并让数据库单独处理。因为实际上数据库实际上并不使用 SQL 语句,而是使用它们的“编译”版本。

不太确定我是否清楚,但这在于查询是如何发送到数据库的。

于 2012-06-26T22:31:54.247 回答
0

准备好的语句通常被构建为使用参数绑定。真正隔离此类攻击的是参数绑定。您可以使用参数绑定而不使用准备好的语句。

准备好的语句提供的第二级保护是每个语句都是一个语句(因此使用;来创建两个语句是行不通的)。

作为一般规则,为了免受注入攻击,准备好的语句必须从非来自任何外部输入的数据中准备。

于 2012-06-26T22:30:19.017 回答
0

基本上,如果你使用标准的无类型参数绑定,你会得到

SELECT * FROM users where id='1; DROP TABLE users;'

这将在数​​据库上出错,但不会造成伤害。

请理解,这与跑步不同

SELECT * FROM users where id='$username'

使用适当的转义$username- 它发生在数据库访问堆栈的较低层。

于 2012-06-26T22:32:19.970 回答