保护字符串数据值,方法很简单
替换单引号 '
很多人都能够注意到保护字符串数据值,但对整型数据都不在意,比如常见的sql语句
a=123
select * from table where id=a
如果 a字符串为“ 123 or 1 = 1”
则sql语句将变成
select * from table where id=123 or 1=1
这样就会把该表中的所有信息读出,首先不安全,将数据表中的所有信息都读出来了,其次增加了服务器的负担。
防范这类攻击也有一个简单的方法,使用单引号将数据值引用起来,比如
select * from table where id='123 or 1=1'
如果id字段为整型,MySQL自动将字符串转换为数字并剥离字符串包含的附加的非数字字符,而Mssql则直接报错,不管是哪种数据库,注入者都不要想通过这种方式注入了。