数据库安全审计是目前使用最为广泛的数据库安全技术，也正因此，用户对此项技术提出了更高的要求。影响审计结果准确性的因素有很多，其中对参数化语句的精确审计是其中一个难点。 

参数绑定是数据库编程中常用的一种方法，通过这种方法，数据库系统可以减少编译次数，快速执行，提升效率，但在笔者所见到的若干数据库审计产品中，在这种情况下都出了不少的错误。有的是漏审了语句，有的是记录下了操作的语句，但将具体执行时所使用的参数记错或漏记了。

为了详解这种情况，我们来看一下参数绑定的基本概念。我们在常规的图形化或命令行工具中，往往都是直接写上SQL语句，比如：

Select * from person_info where id=’12XXXXX6722’;

在这里查询条件是身份证号码。根据身份证号码查询个人信息，是一种常用功能，也是会重复使用的语句，为了提升效率，编程中可以这么写：

String sql1=’Select * from person_info where id=?;’

PreparedStatement pStmt = testConn.getConnection().prepareStatement(sql);

pStmt.setInt(1, ’12XXXXX6722’);

pStmt.execute();

下一次再使用时，就不用再发送语句了，可以直接发送：

pStmt.setInt(1, ’22XXXXX5399’);

pStmt.execute();

对于数据库审计系统而言，单纯地记录下来‘Select * from person_info where id=?’是存在缺陷的，因为你无法明确额操作人员到底访问了哪个用户的信息，必须明确下来具体的参数才行。

这就要求将设定的参数，与Prepare的语句有效的关联，形成可视化的审计记录展现:

Select * from person_info where id=’12XXXXX6722’;

Select * from person_info where id=’22XXXXX5399’;

这实际上要求审计系统比起单纯的记录语句要完成更多的工作；其中一个重要任务的就是句柄追踪，本质上SQL语句的执行过程追踪就是句柄追踪过程。在上面显示的例子中，pStmt.execute()，在通讯过程中并不发送具体的语句，而仅是告知服务器要执行哪个语句句柄，服务器端会根据内部记录的句柄所对应的已经编译完成的SQL语句的执行计划，进行语句执行。数据库审计要完成相应的工作，需要执行类似的过程，在系统的内部也维护这样的映射关系；同时由于大多数数据库的句柄，是在会话级的，句柄是可重用的，因此在数据库审计中还要有效地维护句柄与session的关联，以及句柄的消亡。

在句柄维护之外，另一个有挑战的工作就是参数的还原。参数的还原，首要的是要明确参数所对应的句柄；在调用pStmt.setInt(1, ’22XXXXX5399’)时，在网络中发送的包，会标明这个参数是针对哪个句柄的，是针对第几个参数的。作为数据库审计产品，需要将参数与语句进行映射；更重要地要准确地填回参数所在的位置。

上面的例子只是为了说明概念，举了最简单的示例，实际情况中参数的绑定情况远比这个复杂。我么将在后面的文章中展示相对复杂的实际示例，并详细说明数据库安全审计技术对各类参数化语句的解析原理，能够更实际的看到数据库审计结果的准确度差异。