面试题答案
一键面试防范原理
SQL注入攻击是通过在输入的字符串中嵌入恶意的SQL语句片段,从而改变原本SQL语句的逻辑,达到非法获取数据或执行恶意操作的目的。防止SQL注入攻击的核心原理是对用户输入的数据进行严格的过滤和验证,确保输入的数据不会干扰SQL语句的正常结构。
使用参数化查询(绑定变量)
在Objective-C中使用SQLite数据库时,可通过sqlite3_prepare_v2函数进行参数化查询,这是防范SQL注入的有效方式。以下是代码示例:
#import <sqlite3.h>
#import <Foundation/Foundation.h>
- (BOOL)executeQueryWithUsername:(NSString *)username password:(NSString *)password {
sqlite3 *database;
const char *dbPath = [@"/path/to/your/database.db" UTF8String];
if (sqlite3_open(dbPath, &database) != SQLITE_OK) {
NSLog(@"无法打开数据库");
return NO;
}
// SQL语句使用占位符
const char *sqlStatement = "SELECT * FROM users WHERE username = ? AND password = ?";
sqlite3_stmt *compiledStatement;
if (sqlite3_prepare_v2(database, sqlStatement, -1, &compiledStatement, NULL) != SQLITE_OK) {
NSLog(@"无法编译SQL语句");
sqlite3_close(database);
return NO;
}
// 绑定参数
sqlite3_bind_text(compiledStatement, 1, [username UTF8String], -1, SQLITE_TRANSIENT);
sqlite3_bind_text(compiledStatement, 2, [password UTF8String], -1, SQLITE_TRANSIENT);
// 执行查询
if (sqlite3_step(compiledStatement) == SQLITE_ROW) {
// 查询成功,有匹配的用户
sqlite3_finalize(compiledStatement);
sqlite3_close(database);
return YES;
} else {
// 没有匹配的用户
sqlite3_finalize(compiledStatement);
sqlite3_close(database);
return NO;
}
}
在上述代码中,?是占位符,通过sqlite3_bind_text函数将实际的参数值绑定到占位符上。SQLite库会对这些参数进行正确的转义和处理,从而避免恶意SQL语句的注入。
输入验证
除了参数化查询,还应对用户输入进行验证,确保输入的数据符合预期的格式。例如,对于用户名,只允许字母、数字和特定的字符,可以使用正则表达式进行验证:
- (BOOL)validateUsername:(NSString *)username {
NSString *regex = @"^[A-Za-z0-9_]{3,20}$";
NSPredicate *predicate = [NSPredicate predicateWithFormat:@"SELF MATCHES %@", regex];
return [predicate evaluateWithObject:username];
}
这样可以在一定程度上防止非法字符被用作输入,进一步增强安全性。