SQL注入原理:未将代码与数据隔离,数据作为代码被执行
如何预防:
- 过滤用户输入参数中的特殊字符,从而降低被SQL注入的风险
- 禁止通过字符串拼接的SQL语句,严格使用参数绑定传入的SQL参数
- 合理使用数据库访问框架提供的防注入机制
比如MyBatis提供的#{}绑定参数,从而防止SQL注入,同时谨慎使用${},${}相当于使用字符串拼接SQL
拒绝拼接是SQL语句,使用参数化的语句
SQL注入原理:未将代码与数据隔离,数据作为代码被执行
如何预防:
比如MyBatis提供的#{}绑定参数,从而防止SQL注入,同时谨慎使用${},${}相当于使用字符串拼接SQL
拒绝拼接是SQL语句,使用参数化的语句