sql盲注
风险:可能会查看,修改或者删除数据库条目和表
原因:未对用户输入正确执行危险字符清理
我的理解:通过url传入 一些 对数据库表操作 的字符
解决:在后台对传入的参数进行处理,对String类型的参数进行特殊字符筛选处理,参数长度判断。
数据库查询时 sql语句与参数之间 最好不要用字符串拼接形式。
(对参数筛选我使用了正则表达式判断。)string.replaceAll([^(a-zA-Z0-9\\u4e00-\\u9fa5_)?]," ")
sql盲注
风险:可能会查看,修改或者删除数据库条目和表
原因:未对用户输入正确执行危险字符清理
我的理解:通过url传入 一些 对数据库表操作 的字符
解决:在后台对传入的参数进行处理,对String类型的参数进行特殊字符筛选处理,参数长度判断。
数据库查询时 sql语句与参数之间 最好不要用字符串拼接形式。
(对参数筛选我使用了正则表达式判断。)string.replaceAll([^(a-zA-Z0-9\\u4e00-\\u9fa5_)?]," ")