sql注入攻击
利用sql特殊符号,产生预定的作用。
比如登录:
SELECT * FROM `stu` where `name`='用户名' and pwd = '密码'
输入的是下面特殊字符串,就会产生sql注入攻击,达到登录系统的目的
'or'1=1
比如删除数据:
SELECT * FROM `stu` where `name`='' and pwd = ''
';delete from xxxx;
达到删除数据的目的
如何防范sql注入攻击?
1、不允许输入特殊符号(前后端校验)
2、使用成熟的ORM框架