Сведения о вопросе

Kirushaa

20:44, 1st August, 2020

Теги

c#   .net   sql   database   api    

Привязка параметров: что происходит под капотом?

Просмотров: 400   Ответов: 3

.

NET, Java и другие высокоуровневые базы данных API на различных языках часто предоставляют методы, известные как подготовленные операторы и привязка параметров, в отличие от отправки простых текстовых команд на сервер базы данных. Я хотел бы знать, что происходит, когда вы выполняете такой оператор: 

SqlCommand cmd = new SqlCommand("GetMemberByID");
cmd.CommandType = CommandType.StoredProcedure;
SqlParameter param = new SqlParameter("@ID", memberID);
para.DbType = DbType.Integer;
cmd.Parameters.Add(param);

Я знаю, что это лучшая практика. SQL инъекционные атаки сводятся к минимуму таким образом. Но что именно происходит под капотом, когда вы выполняете эти заявления? Является ли конечный результат все еще безопасной строкой SQL? Если нет, то каков конечный результат? И достаточно ли этого для предотвращения SQL инъекционных атак?



  Сведения об ответе

DAAA

13:45, 24th August, 2020

Страница руководства MySQL по подготовленным заявлениям содержит много информации (которая должна относиться к любому другому RDBMS).

В принципе, ваш оператор анализируется и обрабатывается заранее, и параметры отправляются отдельно, а не обрабатываются вместе с кодом SQL. Это устраняет атаки SQL-injection, потому что SQL анализируется до того, как параметры даже установлены.


  Сведения об ответе

qwerty101

09:44, 20th August, 2020

Если вы используете MS SQL, загрузите профилировщик, и вы увидите, какие операторы SQL генерируются при использовании параметризованных запросов. Вот пример (я использую Enterprise Libary 3.1, но результаты те же самые, используя SqlParameters напрямую) против SQL Server 2005: 

string sql = "SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did";
Database db = DatabaseFactory.CreateDatabase();
using(DbCommand cmd = db.GetSqlStringCommand(sql))
{
  db.AddInParameter(cmd, "DomName", DbType.String, "xxxxx.net");
  db.AddInParameter(cmd, "Did", DbType.Int32, 500204);

  DataSet ds = db.ExecuteDataSet(cmd);
}

Это порождает: 

exec sp[underscore]executesql N'SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did',
  N'@DomName nvarchar(9),
  @Did int',
  @DomName=N'xxxxx.net',
  @Did=500204

Здесь также можно увидеть, что если символы кавычек были переданы в качестве параметров, то они экранируются соответствующим образом: 

db.AddInParameter(cmd, "DomName", DbType.String, "'xxxxx.net");

exec sp[underscore]executesql N'SELECT * FROM tblDomains WHERE DomainName = @DomName AND DomainID = @Did',
  N'@DomName nvarchar(10),
  @Did int',
  @DomName=N'''xxxxx.net',
  @Did=500204


  Сведения об ответе

dump

20:35, 1st August, 2020

говоря простым языком: если будет отправлен подготовленный оператор, то DB будет использовать план, если он доступен, ему не нужно будет заново создавать план каждый раз, когда этот запрос будет отправлен, но изменились только значения параметров. это очень похоже на то, как работают procs, дополнительное преимущество с procs заключается в том, что вы можете дать разрешение только через procs, а не на базовые таблицы вообще


Ответить на вопрос

Чтобы ответить на вопрос вам нужно войти в систему или зарегистрироваться