Что такое подготовленные SQL-запросы (prepared statements) и как вы их применяете для безопасности и производительности?

Question

Что такое подготовленные SQL-запросы (prepared statements) и как вы их применяете для безопасности и производительности?

Тип вопроса: Базы данных и SQL Вероятность: 23% Категория: AQA / Automation

Ответ

Подготовленные запросы (prepared statements) — это техника выполнения SQL-команд, при которой шаблон запроса компилируется один раз, а затем может многократно выполняться с разными параметрами. Это фундаментальный метод для безопасности и оптимизации.

Основная польза:

Защита от SQL-инъекций: Параметры передаются отдельно от кода запроса и автоматически экранируются драйвером БД, что делает инъекцию невозможной.
Повышение производительности: СУБД кэширует план выполнения скомпилированного запроса, что ускоряет повторные выполнения.

Пример на Java с JDBC:

// Шаблон запроса с параметрами (?)
String sql = "INSERT INTO orders (user_id, product_id, quantity) VALUES (?, ?, ?)";

try (Connection conn = dataSource.getConnection();
     PreparedStatement pstmt = conn.prepareStatement(sql)) {

    // Установка параметров. Методы setXXX() автоматически экранируют значения.
    pstmt.setInt(1, userId);
    pstmt.setInt(2, productId);
    pstmt.setInt(3, quantity);

    // Выполнение. План запроса уже скомпилирован.
    int rowsAffected = pstmt.executeUpdate();
}

Пример на Python с sqlite3:

import sqlite3

conn = sqlite3.connect('app.db')
cursor = conn.cursor()

# Подготовленный запрос
cursor.execute("""
    UPDATE users SET last_login = ? WHERE username = ?
""", (current_timestamp, username_input))  # Параметры передаются кортежем

conn.commit()

Пример НЕВЕРНОГО подхода (уязвимого к инъекциям):

// КРИТИЧЕСКАЯ УЯЗВИМОСТЬ! Никогда так не делайте.
String sql = "SELECT * FROM users WHERE email = '" + userInput + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sql); // userInput может содержать вредоносный SQL-код

Вывод: Всегда используйте prepared statements для любых запросов, включающих пользовательский ввод. Это must-have практика для безопасной работы с БД.

Ответ 18+ 🔞

А, слушай, про подготовленные запросы! Это ж, блядь, святое, основа основ, как хлеб с солью. Если ты этого не используешь, то ты просто, прости господи, самоубийца в мире баз данных.

Представь себе, сука, ты пишешь запрос, как в старые добрые времена: "SELECT FROM users WHERE email = '" + userInput + "'". И вроде всё красиво. А потом приходит какой-нибудь хитрожопый уёбок и вводит в поле не vasya@mail.ru, а вот такую хуйню: ' OR '1'='1. И твой запрос превращается в "SELECT FROM users WHERE email = '' OR '1'='1'". И '1' всегда равно '1', ёпта! Это же пиздец! Он получает доступ ко всем пользователям! Это и есть SQL-инъекция, блядь, классика жанра.

А теперь смотри, как это делают нормальные люди, а не распиздяи. Берёшь шаблон, где вместо данных — вопросительные знаки, как будто охуеваешь от происходящего.

Пример на Java с JDBC:

// Шаблон запроса с параметрами (?)
String sql = "INSERT INTO orders (user_id, product_id, quantity) VALUES (?, ?, ?)";

try (Connection conn = dataSource.getConnection();
     PreparedStatement pstmt = conn.prepareStatement(sql)) {

    // Установка параметров. Методы setXXX() автоматически экранируют значения.
    pstmt.setInt(1, userId);
    pstmt.setInt(2, productId);
    pstmt.setInt(3, quantity);

    // Выполнение. План запроса уже скомпилирован.
    int rowsAffected = pstmt.executeUpdate();
}

Видишь? Мы говорим базе: "Слушай, дружище, вот тебе план — вставить три значения. А сами значения я тебе потом, по одному, аккуратненько поднесу". И база их уже не как команду воспринимает, а именно как данные. Этот самый уёбок может вписать хоть ' DROP TABLE users; --, ему будет похуй — это всё станет просто текстом в поле, а не командой. Волшебство, блядь!

И второй плюс — производительность, ёбана! База один раз этот запрос разжуёт, составит оптимальный план выполнения и закэширует его. А потом ты можешь его выполнять с разными параметрами овердохуища раз, и он будет летать. Без этой штуки база каждый раз будет думать заново, как будто впервые видит запрос. Представь, каждый раз объяснять одно и то же — терпения ноль ебать.

Пример на Python с sqlite3:

import sqlite3

conn = sqlite3.connect('app.db')
cursor = conn.cursor()

# Подготовленный запрос
cursor.execute("""
    UPDATE users SET last_login = ? WHERE username = ?
""", (current_timestamp, username_input))  # Параметры передаются кортежем

conn.commit()

Тут та же фигня. Передаёшь кортеж с данными — и спи спокойно.

А вот как делать НЕ НАДО, если не хочешь прослыть ебланом и устроить своей компании пиздец:

// КРИТИЧЕСКАЯ УЯЗВИМОСТЬ! Никогда так не делайте.
String sql = "SELECT * FROM users WHERE email = '" + userInput + "'";
Statement stmt = connection.createStatement();
ResultSet rs = stmt.executeQuery(sql); // userInput может содержать вредоносный SQL-код

Это прямой путь на свалку истории, в рот меня чих-пых. Это как оставить ключи от банка в замочной скважине с табличкой "Добро пожаловать".

Вывод, блядь, однозначный: Всегда, сука, ВСЕГДА используй prepared statements, если в запросе есть хоть намёк на пользовательский ввод. Это не "хорошая практика", это must-have, обязаловка, закон, ебать! Иначе ты не программист, а маньяк с гранатой в руках.