SQL注入攻击的核心原因是程序直接将用户输入的内容拼接到SQL语句中执行,攻击者可以输入特殊字符改变SQL语句的逻辑,从而获取非授权的数据库操作权限。防止这类攻击的关键是将SQL语句的结构和参数分离,预处理语句Prepare和占位符正是实现这一目标的常用方案。

什么是SQL注入
当程序没有对用户输入做严格过滤,直接把输入内容拼接到SQL语句时,就会出现SQL注入漏洞。比如下面的查询逻辑,假设用户传入的user_id是1 OR 1=1,原本的查询就会变成查询所有用户数据。
<?php // 存在SQL注入风险的代码 $user_id = $_GET['user_id']; $sql = "SELECT * FROM users WHERE id = " . $user_id; // 如果用户输入 1 OR 1=1,最终SQL为 SELECT * FROM users WHERE id = 1 OR 1=1 ?>
预处理语句Prepare与占位符的原理
预处理语句的执行分为两步,第一步是向数据库发送带有占位符的SQL模板,数据库会先解析这个模板,确定SQL的结构,第二步再传入具体的参数值执行。占位符通常用?或者命名占位符表示,参数值不会参与SQL结构的解析,只会被当作纯数据处理,因此即使参数中包含SQL特殊字符,也不会改变SQL的逻辑,从根源上避免了注入风险。
预处理语句的执行流程
- 客户端发送预处理SQL模板到mysql服务器,模板中包含占位符
- mysql服务器解析模板,生成执行计划,返回预处理语句的标识
- 客户端发送参数值到服务器,绑定到对应的占位符
- 服务器执行绑定参数后的语句,返回结果
不同语言中mysql预处理语句的使用示例
PHP中使用PDO实现预处理查询
PHP的PDO扩展原生支持mysql预处理语句,使用prepare方法创建预处理对象,再用execute方法传入参数。
<?php // 连接mysql数据库 $dsn = "mysql:host=127.0.0.1;dbname=test;charset=utf8mb4"; $pdo = new PDO($dsn, 'root', 'password'); // 预处理SQL模板,使用?作为占位符 $sql = "SELECT * FROM users WHERE id = ? AND status = ?"; $stmt = $pdo->prepare($sql); // 绑定参数并执行,参数按顺序传入 $stmt->execute([1, 1]); $result = $stmt->fetchAll(PDO::FETCH_ASSOC); // 插入操作示例 $insertSql = "INSERT INTO users (name, age) VALUES (?, ?)"; $insertStmt = $pdo->prepare($insertSql); $insertStmt->execute(['张三', 25]); ?>
Java中使用JDBC实现预处理
Java的JDBC提供了PreparedStatement接口,专门用于执行预处理语句,通过setXXX方法设置占位符对应的参数值。
import java.sql.*;
public class MysqlPrepareExample {
public static void main(String[] args) {
String url = "jdbc:mysql://127.0.0.1:3306/test?useUnicode=true&characterEncoding=utf8";
String user = "root";
String password = "password";
Connection conn = null;
try {
conn = DriverManager.getConnection(url, user, password);
// 预处理查询语句,使用?作为占位符
String querySql = "SELECT * FROM users WHERE name = ? AND age > ?";
PreparedStatement queryStmt = conn.prepareStatement(querySql);
// 设置参数,第一个参数是占位符索引,从1开始
queryStmt.setString(1, "李四");
queryStmt.setInt(2, 18);
ResultSet rs = queryStmt.executeQuery();
while (rs.next()) {
System.out.println("用户ID:" + rs.getInt("id"));
}
// 预处理插入语句
String insertSql = "INSERT INTO users (name, age) VALUES (?, ?)";
PreparedStatement insertStmt = conn.prepareStatement(insertSql);
insertStmt.setString(1, "王五");
insertStmt.setInt(2, 22);
insertStmt.executeUpdate();
} catch (SQLException e) {
e.printStackTrace();
} finally {
if (conn != null) {
try {
conn.close();
} catch (SQLException e) {
e.printStackTrace();
}
}
}
}
}
Python中使用pymysql实现预处理
Python的pymysql库支持参数化查询,在execute方法中传入SQL模板和参数元组,底层会自动使用预处理机制。
import pymysql
# 连接数据库
conn = pymysql.connect(
host='127.0.0.1',
user='root',
password='password',
database='test',
charset='utf8mb4'
)
cursor = conn.cursor()
# 预处理查询,使用%s作为占位符
query_sql = "SELECT * FROM users WHERE id = %s AND status = %s"
cursor.execute(query_sql, (1, 1))
result = cursor.fetchall()
# 预处理插入
insert_sql = "INSERT INTO users (name, age) VALUES (%s, %s)"
cursor.execute(insert_sql, ('赵六', 30))
conn.commit()
cursor.close()
conn.close()
使用预处理语句的注意事项
- 占位符不能用于替代表名、字段名等SQL结构部分,只能替代参数值,如果需要动态表名,需要对表名做白名单校验
- 即使使用了预处理语句,也不要完全忽略用户输入的校验,结合长度限制、格式校验可以进一步提升安全性
- 预处理语句执行完成后,如果不再使用,可以显式关闭预处理对象,释放数据库资源
- 不同的mysql驱动对占位符的表示可能不同,比如有的使用命名占位符
:name,需要根据对应驱动的文档正确使用
预处理语句不仅能防止SQL注入,对于需要重复执行的SQL语句,还可以减少SQL解析的开销,提升执行效率,是mysql开发中推荐的最佳实践。