SQL Injection(SQL):就是通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
如何防止:
1. 通过正则表达式校验用户输入;
2. 通过参数化存储过程进行数据查询存取;
3. 通过参数化SQL语句;
4. 不要把机密信息明文存放,请加密或者hash掉密码和敏感信息。
SQL Injection(SQL):就是通过把SQL命令插入到web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
如何防止:
1. 通过正则表达式校验用户输入;
2. 通过参数化存储过程进行数据查询存取;
3. 通过参数化SQL语句;
4. 不要把机密信息明文存放,请加密或者hash掉密码和敏感信息。