参数化查询
参数化查询用占位符(?)代替拼接值,数据库引擎先将 SQL 骨架编译好,再填入参数值——防止 SQL 注入的根本解法。
传统字符串拼接的问题是:用户输入和 SQL 代码混在一起,解释器分不清哪些是代码、哪些是数据。参数化查询从机制上把它们分开:SQL 骨架先发给数据库解析,参数值后发、且永远不会被当作 SQL 执行。
不仅安全,参数化查询还能提升性能。相同的 SQL 骨架只编译一次,后续执行直接复用编译结果(仅替换参数值),在高并发场景下节省大量编译开销。
不同数据库的参数标记
| 数据库 | 参数标记 | 示例 |
|---|---|---|
| MySQL | ? | SELECT * FROM users WHERE id = ? |
| SQL Server | @param_name | SELECT * FROM users WHERE id = @userid |
| PostgreSQL | $1, $2 ... | SELECT * FROM users WHERE id = $1 |
| Oracle | :param_name | SELECT * FROM users WHERE id = :userid |
SQL 引擎会检查每个参数,确保其数据类型与目标列匹配,并将参数值当作字面量处理,永远不会被解释为 SQL 代码的一部分。
以飞翔科技为例。对比不安全写法和安全写法:
-- 不安全:字符串拼接(绝不要用)
-- SELECT * FROM employees WHERE emp_name = '...' + userInput + '...'
-- 安全:MySQL 参数化查询
PREPARE stmt FROM 'SELECT emp_name, basic_salary, dept_code FROM employees WHERE emp_name = ? AND join_year = ?';
SET @name = '翱翔';
SET @year = 2018;
EXECUTE stmt USING @name, @year;
DEALLOCATE PREPARE stmt;
在应用代码中(以 Python 为例):
import mysql.connector
conn = mysql.connector.connect(
host="localhost",
user="feixiang",
password="your_password",
database="feixiang_db"
)
cursor = conn.cursor()
# 安全:参数化查询
query = "SELECT emp_name, basic_salary FROM employees WHERE emp_name = %s AND join_year = %s"
cursor.execute(query, ("翱翔", 2018))
for row in cursor.fetchall():
print(row)
cursor.close()
conn.close()
无论用户输入 翱翔 还是 ' OR '1'='1,参数化查询都能安全处理——恶意输入只会被当作一个奇怪的名字去匹配,仅此而已。