Привязка параметров: что происходит под капотом?
.NET, Java и другие высокоуровневые API баз данных на разных языках часто предоставляют методы, известные как подготовленные операторы и связывание параметров, в отличие от отправки текстовых команд на сервер базы данных. Я хотел бы знать, что происходит, когда вы выполняете такую инструкцию:
SqlCommand cmd = new SqlCommand("GetMemberByID");
cmd.CommandType = CommandType.StoredProcedure;
SqlParameter param = new SqlParameter("@ID", memberID);
para.DbType = DbType.Integer;
cmd.Parameters.Add(param);
Я знаю, что это лучшая практика. Таким образом сводятся к минимуму атаки SQL-инъекций. Но что именно происходит под капотом, когда вы выполняете эти инструкции? Является ли конечный результат безопасной строкой SQL? Если нет, то каков конечный результат? И достаточно ли этого для предотвращения атак с использованием SQL-инъекций?
Ответы 3
Страница руководства MySQL в подготовленных операторах предоставляет много информации (которая должна применяться к любой другой СУБД).
Обычно ваш оператор анализируется и обрабатывается заранее, а параметры отправляются отдельно, а не обрабатываются вместе с кодом SQL. Это исключает атаки с использованием SQL-инъекций, поскольку SQL анализируется еще до того, как будут установлены параметры.
Если вы используете MS SQL, загрузите профилировщик, и вы увидите, какие операторы SQL генерируются при использовании параметризованных запросов. Вот пример (я использую Enterprise Libary 3.1, но результаты такие же при использовании SqlParameters напрямую) для SQL Server 2005:
string sql = "SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did";
Database db = DatabaseFactory.CreateDatabase();
using(DbCommand cmd = db.GetSqlStringCommand(sql))
{
db.AddInParameter(cmd, "DomName", DbType.String, "xxxxx.net");
db.AddInParameter(cmd, "Did", DbType.Int32, 500204);
DataSet ds = db.ExecuteDataSet(cmd);
}
Это порождает:
exec sp[underscore]executesql N'SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did',
N'@DomName nvarchar(9),
@Did int',
@DomName=N'xxxxx.net',
@Did=500204
Вы также можете увидеть здесь, если символы кавычек были переданы в качестве параметров, они соответственно экранируются:
db.AddInParameter(cmd, "DomName", DbType.String, "'xxxxx.net");
exec sp[underscore]executesql N'SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did',
N'@DomName nvarchar(10),
@Did int',
@DomName=N'''xxxxx.net',
@Did=500204
в условиях непрофессионала: если отправляется подготовленный оператор, то БД будет использовать план, если он доступен, ей не нужно воссоздавать план каждый раз, когда этот запрос отправляется, а изменились только значения параметров. это очень похоже на то, как работают procs, дополнительное преимущество с procs заключается в том, что вы можете давать разрешение только через procs, а не на базовые таблицы вообще