Привязка параметров: что происходит под капотом?

.NET, Java и другие высокоуровневые API баз данных на разных языках часто предоставляют методы, известные как подготовленные операторы и связывание параметров, в отличие от отправки текстовых команд на сервер базы данных. Я хотел бы знать, что происходит, когда вы выполняете такую ​​инструкцию:

SqlCommand cmd = new SqlCommand("GetMemberByID");
cmd.CommandType = CommandType.StoredProcedure;
SqlParameter param = new SqlParameter("@ID", memberID);
para.DbType = DbType.Integer;
cmd.Parameters.Add(param);

Я знаю, что это лучшая практика. Таким образом сводятся к минимуму атаки SQL-инъекций. Но что именно происходит под капотом, когда вы выполняете эти инструкции? Является ли конечный результат безопасной строкой SQL? Если нет, то каков конечный результат? И достаточно ли этого, чтобы предотвратить атаки с использованием SQL-инъекций?

Ответов (3)

Решение

На странице руководства MySQL по подготовленным операторам содержится много информации (которая должна относиться к любой другой СУБД).

Обычно ваш оператор анализируется и обрабатывается заранее, а параметры отправляются отдельно, а не обрабатываются вместе с кодом SQL. Это исключает атаки с использованием SQL-инъекций, поскольку SQL анализируется еще до того, как будут установлены параметры.

Если вы используете MS SQL, загрузите профилировщик, и вы увидите, какие операторы SQL генерируются при использовании параметризованных запросов. Вот пример (я использую Enterprise Libary 3.1, но результаты такие же при использовании SqlParameters напрямую) для SQL Server 2005:

string sql = "SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did";
Database db = DatabaseFactory.CreateDatabase();
using(DbCommand cmd = db.GetSqlStringCommand(sql))
{
  db.AddInParameter(cmd, "DomName", DbType.String, "xxxxx.net");
  db.AddInParameter(cmd, "Did", DbType.Int32, 500204);

  DataSet ds = db.ExecuteDataSet(cmd);
}

Это порождает:

exec sp[underscore]executesql N'SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did',
  N'@DomName nvarchar(9),
  @Did int',
  @DomName=N'xxxxx.net',
  @Did=500204

Вы также можете увидеть здесь, если символы кавычек были переданы в качестве параметров, они соответственно экранируются:

db.AddInParameter(cmd, "DomName", DbType.String, "'xxxxx.net");

exec sp[underscore]executesql N'SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did',
  N'@DomName nvarchar(10),
  @Did int',
  @DomName=N'''xxxxx.net',
  @Did=500204

в условиях непрофессионала: если отправляется подготовленный оператор, то БД будет использовать план, если он доступен, ей не нужно воссоздавать план каждый раз, когда этот запрос отправляется, а изменились только значения параметров. это очень похоже на то, как работают procs, дополнительное преимущество с procs заключается в том, что вы можете давать разрешение только через procs, а не на базовые таблицы вообще