为了账号安全,请及时绑定邮箱和手机立即绑定

为什么使用mysql预处理语句比使用普通转义功能更安全?

/ 猿问

为什么使用mysql预处理语句比使用普通转义功能更安全?

桃花长相依 2019-10-12 09:54:58

在另一个问题中有一条评论说:


“涉及数据库查询时,请始终尝试使用预先准备好的参数化查询。mysqli和PDO库支持此操作。这比使用转义函数(例如mysql_real_escape_string)绝对安全。”


资源


因此,我想问的是:为什么准备好的参数化查询更安全?


查看完整描述

3 回答

?
摇曳的蔷薇

我认为这里的人们所缺少的重要一点是,有了支持参数化查询的数据库,就不必担心“转义”。数据库引擎不会将绑定的变量组合到SQL语句中,然后再分析整个内容。绑定变量保持独立,并且永远不会解析为通用SQL语句。

这就是安全性和速度的来源。数据库引擎知道占位符仅包含数据,因此永远不会将其解析为完整的SQL语句。当您一次准备一条语句然后执行多次时,就会提速。典型示例是将多个记录插入到同一表中。在这种情况下,数据库引擎仅需要解析,优化等一次。

现在,数据库抽象库是一个难题。他们有时只是通过以适当的转义将绑定变量插入SQL语句中来伪造它。尽管如此,这总比自己动手做更好。


查看完整回答
反对 回复 2019-10-12
?
慕桂英3389331

首先,您将危险字符的转义留给了数据库,这比人类安全得多。

...它不会忘记转义,或者会错过任何可能用于注入恶意SQL的特殊字符。更不用说,您可能会提高性能来启动!


查看完整回答
反对 回复 2019-10-12
?
慕容森

我对安全性不是很精通,但是这里有一个解释,希望对您有所帮助:


假设您有一个类似的声明:


从mydb中选择[整数]


假装准备时,该语句将在我们虚构的sql实现中编译为字节。


           01                  00 00                  23

Opcode for select          Prepared bytes      number of "mydb"

                          for your integer

现在,当您执行时,将数字插入到为准备好的语句保留的空间中。


与之相比,如果您仅使用转义,则可能在其中插入尽可能多的乱码,并可能导致内存溢出,或者一些忘记了转义的奇怪的sql命令。


查看完整回答
反对 回复 2019-10-12

添加回答

回复

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信