sql参数化查询

sql参数化查询已被视为最有效可预防SQL注入攻击 (SQL Injection) 的攻击手法的防御方式

【参考】http://zh.wikipedia.org/wiki/%E5%8F%82%E6%95%B0%E5%8C%96%E6%9F%A5%E8%AF%A2

【参考】 http://baike.baidu.com/view/3061939.htm

 

有部份的开发人员可能会认为使用参数化查询，会让程式更不好维护，或者在实作部份功能上会非常不便^{[来源请求]}，然而，使用参数化查询造成的额外开发成本，通常都远低于因为SQL隐码攻击漏洞被发现而遭受攻击，所造成的重大损失。

除了安全因素，相比起拼接字符串的 SQL 语句，参数化的查询往往有性能优势。因为参数化的查询能让不同的数据通过参数到达数据库，从而公用同一条 SQL 语句。大多数数据库会缓存解释 SQL 语句产生的字节码而省下重复解析的开销。如果采取拼接字符串的 SQL 语句，则会由于操作数据是 SQL 语句的一部分而非参数的一部分，而反复大量解释 SQL 语句产生不必要的开销

原理

在使用参数化查询的情况下，数据库服务器不会将参数的内容视为SQL指令的一部份来处理，而是在数据库完成 SQL 指令的编译后，才套用参数执行，因此就算参数中含有具破坏性的指令，也不会被数据库所执行。

PHP 推荐使用mysqli

$db = new mysqli("localhost", "user", "pass", "database");
$stmt = $mysqli -> prepare("SELECT priv FROM testUsers WHERE username=? AND password=?");
$stmt -> bind_param("ss", $user, $pass);
$stmt -> execute();

PERL 

use DBI; //DBI模块
my $sth = $dbh->prepare('SELECT name FROM member where id=?');
$sth->execute([$id]);

Javascript

var db = openDatabase('mydb','1.0','for test',2*1024*1024);//数据库名mydb,版本1.0,描述for test,大小2m
        db.transaction(function (tx){
            tx.executeSql('create table if not exists mytable (id,name,email)');
　　　　　　　//创建数据库
              tx.executeSql("insert into mytable(id,name,email) values(?,?,?)",['1','kit','bb@126.com'],dataHandler,errorHandler);
              /*
              * executeSql(sql,values,success,error);
              * sql为一个string类型的SQL语句,values是一个数组形式的参数,是SQL语句里?的值 ,success是一个函数,在SQL执行成功后触发,error是执行失败时触发.
　　　　　　　　*/
              tx.executeSql('select * from mytable',[],dataHandler,errorHandler);
        });
function dataHandler(tx,result){
　　....
}

function errorHandler(tx,error){
　　...
}

其它语言请考上面的 百度百科 和 维基百科