如何在数据库查询中加入变量？

为什么必须安全地加入变量？

直接拼接用户输入到SQL语句中（如"SELECT * FROM users WHERE id = " + userInput）会导致严重破绽：

• SQL注入风险：攻击者可输入1; DROP TABLE users--删除数据。
• 数据错误：用户输入含单引号（）时引发语法错误。
• 性能问题：数据库无法复用执行计划。

正确方法：参数化查询（预处理语句）

通过占位符（、@var）分离SQL逻辑与数据,确保变量被当作纯数据处理。

步骤示例（以Python + MySQL为例）

import mysql.connector
# 1. 连接数据库
db = mysql.connector.connect(user='user', password='pass', database='test')
# 2. 创建游标并定义带占位符的SQL
cursor = db.cursor(prepared=True)  # 关键：启用预处理
sql = "INSERT INTO products (name, price) VALUES (?, ?)"
# 3. 绑定变量并执行
product_data = ("Laptop", 1200)
cursor.execute(sql, product_data)  # 自动转义变量
# 4. 提交并关闭
db.commit()

其他语言示例

• PHP (PDO)：

  $stmt = $pdo->prepare("SELECT * FROM users WHERE email = :email");
  $stmt->execute(['email' => $user_input]);

• Java (JDBC)：

  PreparedStatement stmt = conn.prepareStatement("UPDATE orders SET status=? WHERE id=?");
  stmt.setString(1, "shipped");
  stmt.setInt(2, orderId);
  stmt.executeUpdate();

替代方案及注意事项

1. 存储过程（谨慎使用）：

   CREATE PROCEDURE AddUser(IN username VARCHAR(50), IN email VARCHAR(100))
   BEGIN
     INSERT INTO users (username, email) VALUES (username, email);
   END

   需在数据库中预先定义,灵活性较低。

2. ORM框架（推荐）：

   • 如Django ORM、Hibernate等自动处理参数化：

     # Django示例
     Product.objects.create(name="Camera", price=899)

3. 绝对禁止的做法：

   • 拼接字符串："SELECT * FROM log WHERE content = '" + user_input + "'"
   • 未过滤的动态SQL：EXEC("DELETE FROM posts WHERE id=" + input_id)

关键安全原则

1. 永远信任最小化：

   即使内部用户输入也需参数化。

2. 二次验证：
   • 数字变量用intval()转换（如PHP）,字符串变量用正则校验格式。
3. 错误处理：

   返回通用错误（如“操作失败”）,避免泄露数据库结构。

4. 权限控制：
   • 数据库账号按需分配SELECT/UPDATE权限,禁用root账户。

常见问题解答

• 问：参数化查询影响性能吗？
  答：不会，数据库会缓存预处理语句的执行计划,效率高于拼接SQL。

• 问：表名/列名能用变量吗？
  答：不能，占位符仅用于值,动态表名需用白名单校验：

  valid_tables = ["products", "users"]
  table = "users" if user_input not in valid_tables else user_input
  sql = f"SELECT * FROM {table}"  # 白名单确保安全

通过参数化查询，您将同时获得安全性（防御99%的SQL注入）、可读性（SQL逻辑清晰）和可维护性（变量修改不影响语句结构）,务必在所有数据库操作中坚持此实践。

引用说明：本文方法遵循OWASP SQL注入防护标准，参考MySQL官方预处理文档、微软SQL Server参数化指南及NIST网络安全框架。