构造动态字符串.docVIP

构造动态字符串 构造动态字符串是一种编程技术，它允许开发人员在运行过程中动态构造SQL语句。开发人员可以使用动态SQL来创建通用、灵活的应用。动态SQL语句是在执行过程中构造的，它根据不同的条件产生不同的SQL语句。当开发人员在运行过程中需要根据不同的查询标准来决定提取什么字段(如SELECT语句)，或者根据不同的条件来选择不同的查询表时，动态构造SQL语句会非常有用。 不过，如果使用参数化查询的话，开发人员可以以更安全的方式得到相同的结果。参数化查询是指SQL语句中包含一个或多个嵌入参数的查询。可以在运行过程中将参数传递给这些查询。包含的嵌入到用户输入中的参数不会被解析成命令而执行，而且代码不存在被注入的机会。这种将参数嵌入到SQL语句中的方法比起使用字符串构造技术来动态构造并执行SQL,,,,,,,,,,语句来说拥有更高的效率且更加安全。 下列PHP代码展示了某些开发人员如何根据用户输入来动态构造SQL字符串语句。该语句从数据库的表中选择数据。它根据至少在数据库的一条记录中出现的用户输入值来返回记录。 //,,,,,,,,,,a,,,,,,,,,,dynamically,,,,,,,,,,built,,,,,,,,,,sql,,,,,,,,,,string,,,,,,,,,,statement,,,,,,,,,,in,,,,,,,,,,PHP,,,,,,,,,,,,,,,,,,,,$query,,,,,,,,,,=,,,,,,,,,,SELECT,,,,,,,,,,*,,,,,,,,,,FROM,,,,,,,,,,table,,,,,,,,,,WHERE,,,,,,,,,,field,,,,,,,,,,=,,,,,,,,,,$_GET[input];,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,//,,,,,,,,,,a,,,,,,,,,,dynamically,,,,,,,,,,built,,,,,,,,,,sql,,,,,,,,,,string,,,,,,,,,,statement,,,,,,,,,,in,,,,,,,,,,.NET,,,,,,,,,,,,,,,,,,,,query,,,,,,,,,,=,,,,,,,,,,SELECT,,,,,,,,,,*,,,,,,,,,,FROM,,,,,,,,,,table,,,,,,,,,,WHERE,,,,,,,,,,field,,,,,,,,,,=,,,,,,,,,,,,,,,,,,,,+,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,request.getParameter(input),,,,,,,,,,+,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,;,,,,,,,,,,像上面那样构造动态SQL语句的问题是：如果在将输入传递给动态创建的语句之前，未对代码进行验证或编码，那么攻击者会将SQL语句作为输入提供给应用并将SQL语句传递给数据库加以执行。下面是使用上述代码构造的SQL语句： SELECT,,,,,,,,,,*,,,,,,,,,,FROM,,,,,,,,,,TABLE,,,,,,,,,,WHERE,,,,,,,,,,FIELD,,,,,,,,,,=,,,,,,,,,,input,,,,,,,,,,1.,,,,,,,,,,转义字符处理不当 SQL数据库将单引号字符()解析成代码与数据间的分界线：假定单引号外面的内容均是需要运行的代码，而用单引号引起来的内容均是数据。因此，只需简单地在URL或Web页面(或应用)的字段中输入一个单引号，就能快速识别出Web站点是否会受到SQL注入攻击。下面是一个非常简单的应用的源代码，它将用户输入直接传递给动态创建的SQL语句： //,,,,,,,,,,build,,,,,,,,,,dynamic,,,,,,,,,,SQL,,,,,,,,,,statement,,,,,,,,,,,,,,,,,,,,$SQL,,,,,,,,,,=,,,,,,,,,,SELECT,,,,,,,,,,*,,,,,,,,,,FROM,,,,,,,,,,table,,,,,,,,,,WHERE,,,,,,,,,,field,,,,,,,,,,=,,,,,,,,,,$_GET[input];,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,//,,,,,,,,,,execute,,,,,,,,,,sql,,,,,,,,,,statement,,,,,,,,,,,,,,,,,,,,$result,,,,,,,,,,=,,,,,,,,,,mysql_query($SQL);,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,//,,,,,,,,,,check,,,,