参数化查询样例

<think>好的，用户现在想要参数化查询的样例。之前他们问过XLSX文件上传是否有SQL注入风险，我解释了风险来源和防范措施，其中重点提到了参数化查询。现在用户需要具体的例子，可能是想在实际代码中应用这种方法来防止注入。 首先，我需要确定用户可能使用的编程语言或框架。常见的如Python、Java、PHP、C#、Node.js等，不同语言的参数化查询写法不同。用户可能没有明确说明，所以最好覆盖几种常用语言，确保覆盖面广，满足不同用户的需求。 接下来，要确保每个例子都正确展示参数化查询的使用方式，避免常见的错误。比如在Python中使用psycopg2的cursor.execute时，用%s作为占位符，并传入元组参数。同时要对比不安全的字符串拼接方式，突出安全性差异。 还要考虑用户可能的疑问，比如为什么参数化查询能防止注入。需要简单解释参数化查询的原理，比如数据与SQL指令分离，数据库会自动处理特殊字符，避免恶意代码执行。 另外，用户可能对预处理语句（Prepared Statements）和ORM的例子感兴趣，比如使用SQLAlchemy或Django ORM，这些也是参数化查询的不同形式。需要给出不同层面的例子，帮助用户理解各种应用场景。 还要注意代码格式的规范性，使用正确的语法高亮和缩进，让用户易于阅读。同时，提醒用户注意事项，比如不要手动转义输入，始终使用数据库驱动的参数化方法，避免错误的安全感。 最后，总结参数化查询的重要性，并再次强调结合其他安全措施，如输入验证、最小权限原则等，形成纵深防御体系。确保用户不仅知道怎么写参数化查询，还能全面应用安全最佳实践。</think>以下是用不同编程语言实现的**参数化查询**示例，可有效防止 SQL 注入： --- ### 一、核心原理 参数化查询通过**分离 SQL 指令与数据**实现安全： 1. SQL 语句模板中**使用占位符**（如 `?`、`@name`、`%s`） 2. 数据通过变量传递，由数据库驱动**自动处理特殊字符转义** --- ### 二、代码示例 #### 1. Python (psycopg2 + PostgreSQL) ```python import psycopg2 # 连接数据库 conn = psycopg2.connect(database="test", user="user", password="pass") cursor = conn.cursor() # 参数化查询示例（使用 %s 占位符） user_id = 123 user_name = "Alice'; DROP TABLE users;--" # 恶意输入 # 安全写法 cursor.execute("SELECT * FROM users WHERE id = %s AND name = %s", (user_id, user_name)) results = cursor.fetchall() # 错误写法（直接拼接字符串，存在注入风险） # cursor.execute(f"SELECT * FROM users WHERE id = {user_id} AND name = '{user_name}'") ``` #### 2. Java (JDBC + MySQL) ```java String sql = "INSERT INTO products (name, price) VALUES (?, ?)"; try (PreparedStatement pstmt = connection.prepareStatement(sql)) { pstmt.setString(1, "Phone'); DELETE FROM products;--"); // 恶意输入 pstmt.setBigDecimal(2, new BigDecimal("599.99")); pstmt.executeUpdate(); } ``` #### 3. PHP (PDO + MySQL) ```php $stmt = $pdo->prepare("UPDATE orders SET status = :status WHERE id = :id"); $stmt->execute([ ':status' => "Shipped'; UPDATE users SET is_admin=1;--", // 恶意输入 ':id' => 456 ]); ``` #### 4. C# (ADO.NET + SQL Server) ```csharp string sql = "SELECT * FROM logs WHERE timestamp > @start AND type = @type"; using (SqlCommand cmd = new SqlCommand(sql, connection)) { cmd.Parameters.AddWithValue("@start", DateTime.Parse("2024-01-01")); cmd.Parameters.AddWithValue("@type", "Error'; EXEC xp_cmdshell('rm -rf /');--"); SqlDataReader reader = cmd.ExecuteReader(); } ``` --- ### 三、ORM 框架示例 #### 1. SQLAlchemy (Python) ```python from sqlalchemy import text # 安全写法 stmt = text("SELECT * FROM employees WHERE department = :dept") result = conn.execute(stmt, dept="IT'; DELETE FROM employees;--") ``` #### 2. Django ORM ```python # 自动参数化 Employee.objects.filter( department=request.GET.get("dept"), # 用户输入 "HR'; DROP TABLE employees;--" salary__gt=5000 ) ``` --- ### 四、注意事项 1. **占位符不可用于表名/列名** ```python # 错误用法（占位符只能传值，不能传标识符） cursor.execute("SELECT * FROM %s WHERE id = %s", ("users", 123)) # 会报错 # 正确做法（提前校验表名合法性） valid_tables = {"users", "products"} table_name = "users" if input_table in valid_tables else "default" cursor.execute(f"SELECT * FROM {table_name} WHERE id = %s", (123,)) ``` 2. **不要手动转义输入** ```python # 危险！不完全防御注入 escaped_input = user_input.replace("'", "''") cursor.execute(f"INSERT INTO logs (msg) VALUES ('{escaped_input}')") ``` 3. **所有用户输入必须参数化** 包括 URL 参数、表单数据、Cookie、HTTP 头、文件内容等。 --- ### 五、总结 | 方法 | 安全等级 | 适用场景 | |-----------------|----------|------------------------------| | 参数化查询 | ✅ 最高 | 所有 SQL 操作 | | ORM 框架 | ✅ 高 | 对象关系映射场景 | | 存储过程 | ⚠️ 中 | 需配合参数化使用 | | 手动字符过滤 | ❌ 低 | 不推荐，易遗漏特殊字符 | **关键原则**：永远不要信任用户输入，始终通过数据库驱动的参数化接口传递数据。