防止SQL注入 – 如果使用预准备语句,为什么要逃避输入?

前端之家收集整理的这篇文章主要介绍了防止SQL注入 – 如果使用预准备语句,为什么要逃避输入?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在做网络安全的一些研究,我的文章修改者说:

“应该很清楚,为了避免sql注入,应用程序应该使用预准备语句,存储过程和转义输入”

我的问题是:其中一种方法是不够的?好吧,准备好的语句或存储过程比简单的转义更好,但如果我使用PDO,为什么我应该转义输入或有一个存储过程?这有意义吗?

解决方法

我会将修改者的措辞改为:

It should be clear that to avoid sql Injection,the application should use prepared statements,escape input,or filter application data before interpolating into an sql string.

如果您要作为参数传递,则无需转义值.实际上,您不应该,因为您将在文档中插入文字反斜杠.

当您不能使用查询参数时,需要将字符串插入到sql语句中.例子包括

>表名和列名,它们的编号为own syntax for delimited identifiers.这些必须是准备时SQL查询的一部分,因此RDBMS可以解析和验证它们.
> sql关键字,应该进行清理,但由于它们没有分隔,因此无法转义.
>其他语法或表达式.
>某些必须在准备时提供字面值的情况,例如: MysqL的全文功能不支持搜索模式的参数.

存储过程不能防止sql注入.您可以在存储过程中准备和执行不安全的动态sql语句.有关这方面的精彩故事,请参阅http://thedailywtf.com/Articles/For-the-Ease-of-Maintenance.aspx.

我在SQL Injection Myths and Fallacies的演讲中介绍了所有这些案例.这对您来说可能是一个有用的资源.

我还在我的书SQL Antipatterns: Avoiding the Pitfalls of Database Programming的一章中介绍了sql注入防御.

猜你在找的MsSQL相关文章