Привязка параметров: что происходит под капотом?

.NET, Java и другие высокоуровневые API-интерфейсы баз данных на разных языках часто предоставляют методы, известные как подготовленные операторы и привязку параметров, в отличие от отправки простых текстовых команд на сервер базы данных. Что я хотел бы знать, так это то, что происходит, когда вы выполняете оператор, подобный этому:

SqlCommand cmd = new SqlCommand("GetMemberByID");
cmd.CommandType = CommandType.StoredProcedure;
SqlParameter param = new SqlParameter("@ID", memberID);
para.DbType = DbType.Integer;
cmd.Parameters.Add(param);

Я знаю, что это лучшая практика. Атаки SQL-инъекций сводятся к минимуму. Но что именно происходит под капотом, когда вы выполняете эти заявления? Является ли конечный результат безопасной строкой SQL? Если нет, каков конечный результат? И достаточно ли этого для предотвращения атак с использованием SQL-инъекций?

18.08.2008 17:11:15
3 ОТВЕТА
РЕШЕНИЕ

Страница справочника MySQL по подготовленным операторам предоставляет много информации (которая должна применяться к любой другой RDBMS).

По сути, ваш оператор анализируется и обрабатывается заранее, а параметры отправляются отдельно, а не обрабатываются вместе с кодом SQL. Это исключает атаки с использованием SQL-инъекций, поскольку SQL-анализ анализируется еще до того, как параметры заданы.

5
23.09.2014 07:59:14

Если вы используете MS SQL, загрузите профилировщик, и вы увидите, какие операторы SQL генерируются при использовании параметризованных запросов. Вот пример (я использую Enterprise Libary 3.1, но результаты те же, что и при использовании SqlParameters напрямую) для SQL Server 2005:

string sql = "SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did";
Database db = DatabaseFactory.CreateDatabase();
using(DbCommand cmd = db.GetSqlStringCommand(sql))
{
  db.AddInParameter(cmd, "DomName", DbType.String, "xxxxx.net");
  db.AddInParameter(cmd, "Did", DbType.Int32, 500204);

  DataSet ds = db.ExecuteDataSet(cmd);
}

Это создает:

exec sp[underscore]executesql N'SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did',
  N'@DomName nvarchar(9),
  @Did int',
  @DomName=N'xxxxx.net',
  @Did=500204

Вы также можете увидеть здесь, если символы кавычек были переданы в качестве параметров, они соответственно экранируются:

db.AddInParameter(cmd, "DomName", DbType.String, "'xxxxx.net");

exec sp[underscore]executesql N'SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did',
  N'@DomName nvarchar(10),
  @Did int',
  @DomName=N'''xxxxx.net',
  @Did=500204
0
18.08.2008 17:56:57

с точки зрения непрофессионала: если подготовленный оператор отправляется, то БД будет использовать план, если он доступен, ему не нужно будет заново создавать план каждый раз, когда этот запрос пересылается, а изменяются только значения параметров. это очень похоже на то, как работают procs, дополнительное преимущество для procs состоит в том, что вы можете давать разрешение только через procs, а не для базовых таблиц вообще

0
18.08.2008 17:53:15