預編譯sql怎麼樣

Ⅰ 什麼是sql注入如何防止sql注入

SQL注入是一種非常常見的資料庫攻擊手段，同時也是網路世界中最普遍的漏洞之一，簡單理解就是惡意用戶通過在表單中填寫包含SQL關鍵字的數據來使資料庫執行非常規代碼的過程。
問題來源是，SQL資料庫的操作是通過SQL語句來執行的，而無論是執行代碼還是數據項都必須寫在SQL語句中，也就導致如果我們在數據項中加入了某些SQL語句關鍵字，比如SELECT、DROP等，這些關鍵字就很有可能在資料庫寫入或讀取數據時得到執行。
解決方案
方案一：
採用預編譯技術
使用預編譯的SQL語句，SQL語句的語義不會是不會發生改變的。預編譯語句在創建的時候就已經將指定的SQL語句發送給了DBMS，完成了解析，檢查，編譯等工作，所以攻擊者無法改變SQL語句的結構，只是把值賦給?，然後將?這個變數傳給SQL語句。當然還有一些通過預編譯繞過某些安全防護的操作，大家感興趣可以去搜索一下。
方案二：
嚴格控制數據類型
在java、c等強類型語言中一般是不存在數字型注入的，因為在接受到用戶輸入id時，代碼一般會做一個int id 的數據類型轉換，假如我們輸入的是字元串的話，那麼這種情況下，程序就會報錯。但是在PHP、ASP這些沒有強調處理數據類型的語言，一般我們看到的接收id的代碼都是如下等代碼。
方案三：
對特殊的字元進行轉義
數字型注入可以通過檢查數據類型防止，但是字元型不可以，那麼怎麼辦呢，最好的辦法就是對特殊的字元進行轉義了。比如在MySQL中我們可以對" '
"進行轉義，這樣就防止了一些惡意攻擊者來閉合語句。當然我們也可以通過一些安全函數來轉義特殊字元。如addslashes()等，但是這些函數並非一勞永逸，攻擊者還可以通過一些特殊的方式繞過。

Ⅱ SQL注入的防範 使用預編譯語句

預編譯語句PreparedStatement是 java.sql中的一個介面，繼承自Statement 介面。通過Statement對象執行SQL語句時，需要將SQL語句發送給DBMS，由 DBMS先進行編譯後再執行。而預編譯語句和Statement不同，在創建PreparedStatement對象時就指定了SQL語句，該語句立即發送給DBMS進行編譯，當該編譯語句需要被執行時，DBMS直接運行編譯後的SQL語句，而不需要像其他SQL語句那樣先將其編譯。引發SQL注入的根本原因是惡意用戶將SQL指令偽裝成參數傳遞到後端資料庫執行。作為一種更為安全的動態字元串的構建方法，預編譯語句使用參數佔位符來替代需要動態傳入的參數，這樣攻擊者無法改變SQL語句的結構，SQL語句的語義不會發生改變，即便用戶傳入類似於前面' or '1'='1這樣的字元串，資料庫也會將其作為普通的字元串來處理。

Ⅲ SQL注入預編譯是絕對安全的么

沒錯，存儲過程的確能有效解決SQL注入式攻擊！
理由：因為通常的資料庫訪問方法，都是把訪問數據表的權利賦給程序，注入式攻擊者通過你的程序漏洞判斷和獲得更多的信息，並利用你賦給程序的訪問和操作權，輕者破壞本表數據，重者毀壞整個資料庫！
使用存儲過程則完全不同，程序中不必再有SQL語句，因此程序不必擁有訪問和操作數據表的許可權，只把運行存儲過程的許可權交給程序。程序只是把參數和存儲過程名告訴資料庫，然後等待結果就行了，注入式攻擊者要想運行存儲過程，就必需猜對存儲過程名，並且還要猜對參數個數、參數名和參數的順序，同時滿足這些條件太難了，即便所以條件都滿足，那麼攻擊者也只是往數據表裡存了一組合法數據而已，不會導致其它破壞。
因此，通過存儲過程能從根本上解決注入式攻擊。
需要注意的是，使用存儲過程後，應把原來交給程序的操作數據表的許可權收回，否則就象為了防小偷鎖了前門，卻開著後門一樣。

Ⅳ 動態表名組裝的sql，還能預編譯嗎

當然可以，就和你正常的一樣

sql = "select sms_mt_send_detail"+day+" detail inner join .... where detail.user_mobile = ? and ...."

PreparedStatement stat = con.prepareStatement(sql);
stat.setString(1,table); -- 設置參數
...

Ⅳ 預編譯SQL語句的使用問題

void setString(int parameterIndex,
String x)

PreparedStatement pstmt = con.prepareStatement("UPDATE table4 SET m = ? WHERE x = ?");
pstmt 對象包含語句 "UPDATE table4 SET m = ? WHERE x = ?"，它已發送給DBMS，並為執行作好了准備。
2、傳遞 IN 參數
在執行 PreparedStatement 對象之前，必須設置每個 ? 參數的值。這可通過調用 setXXX 方法來完成，其中 XXX 是與該參數相應的類型。例如，如果參數具有Java 類型 long，則使用的方法就是 setLong。setXXX 方法的第一個參數是要設置的參數的序數位置，第二個參數是設置給該參數的值。例如，以下代碼將第一個參數設為 123456789，第二個參數設為 100000000：
pstmt.setLong(1, 123456789);
pstmt.setLong(2, 100000000);
一旦設置了給定語句的參數值，就可用它多次執行該語句，直到調用clearParameters 方法清除它為止。在連接的預設模式下（啟用自動提交），當語句完成時將自動提交或還原該語句。
如果基本資料庫和驅動程序在語句提交之後仍保持這些語句的打開狀態，則同一個 PreparedStatement 可執行多次。如果這一點不成立，那麼試圖通過使用PreparedStatement 對象代替 Statement 對象來提高性能是沒有意義的。
利用 pstmt（前面創建的 PreparedStatement 對象），以下代碼例示了如何設置兩個參數佔位符的值並執行 pstmt 10 次。如上所述，為做到這一點，資料庫不能關閉 pstmt。在該示例中，第一個參數被設置為 "Hi"並保持為常數。在 for 循環中，每次都將第二個參數設置為不同的值：從 0 開始，到 9 結束。
pstmt.setString(1, "Hi");
for (int i = 0; i < 10; i++) {
pstmt.setInt(2, i);
int rowCount = pstmt.executeUpdate();
}

Ⅵ 用預編譯的方式查詢是不是能夠杜絕SQL注入

是的，預編譯有個類是PreparedStatement.
這個類的對象是通過參數？來傳值的
例：
String sql = "select * from table where id = ?";
Connection con = .....///這里得到是資料庫的連接
PreparedStatement ps = con.prepareStatement(sql);
ps.setInt(1,id);//這里的資料庫語句所用到的參數要被設置的，如果你傳入了錯的值，或不同類型的值，它在插入到資料庫語句中會編譯不通過，這也就防止了SQL注入。

Ⅶ 預編譯sql語句就sql綁定變數嗎

1. 認識綁定變數：

綁定變數是為了減少解析的，比如你有個語句這樣
select aaa,bbb from ccc where ddd=eee;
如果經常通過改變eee這個謂詞賦值來查詢，像如下
select aaa,bbb from ccc where ddd=fff;
select aaa,bbb from ccc where ddd=ggg;
select aaa,bbb from ccc where ddd=hhh;
每條語句都要被資料庫解析一次，這樣比較浪費資源，如果把eee換成「:1」這樣的綁定變數形式，無論ddd後面是什麼值，都不需要重復解析

Java實現綁定變數的方法：
[java] view plain
PreparedStatement pstmt = con.prepareStatement("UPDATE employees SET salay = ? WHERE id = ?");
pstmt.setBigDecimal(1, 15.00);
pstmt.setInt(2, 110592);
/result statmement: UPDATE employees SET salay = 15.00 WHERE id = 110592
pstmt.executeQuery();

假設要將id從1到10000的員工的工資都更新為150.00元，不使用綁定變數，則：
[java] view plain
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 1");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 2");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 3");
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 4");
....
sql.executeQuery("UPDATE employees SET salay = 150.00 WHERE id = 10000");
使用綁定變數，則：
[java] view plain
PreparedStatement pstmt;
for (id = 1; id < 10000; id )
{
if (null == pstmt)
pstmt = con.prepareStatement("UPDATE employees SET salay = ? WHERE id = ?");
pstmt.setBigDecimal(1, 150.00);
pstmt.setInt(2, id);
pstmt.executeQuery();
}
二者區別在於，不用綁定變數，則相當於反復解析、執行了1w個sql語句。使用綁定變數，解析sql語句只用了一次，之後的9999次復用第一次生成的執行計劃。顯然，後者效率會更高一些。
2. 什麼時候不應該/不必要使用綁定變數
a. 如果你用數據倉庫，一條大查詢一跑幾個小時，根本沒必要做綁定變數，因為解析的消耗微乎其微。
b. 變數對優化器產生執行計劃有很重要的影響的時候：綁定變數被使用時，查詢優化器會忽略其具體值，因此其預估的准確性遠不如使用字面量值真實，尤其是在表存在數據傾斜(表上的數據非均勻分布)的列上會提供錯誤的執行計劃。從而使得非高效的執行計劃被使用。

3. 綁定變數在OceanBase中的實現
目
前OceanBase中實現了綁定變數，目的主要是為了編程方便，而不是為了降低生成執行計劃的代價。為什麼呢？因為OceanBase中目前使用的是一
種」靜態執行計劃「，無論什麼Query，執行流程都一樣。OB在前端代理ObConnector中實現綁定變數，將用戶傳入的變數進行
to_string()操作，替代SQL語句中相應的部分，形成一個完整的SQL。然後這個SQL傳遞給MS，MS按照標准流程來解析和執行。相信不遠的
將來，OB將會實現真正意義上的綁定變數，讓用戶享受到綁定變數帶來的好處。