对于sql注入,攻击者首先要确定你使用的是什么数据库。他要怎么确定你用什么数据库呢?就是利用第一个sql注入的方式,URL传值去获取异常信息,分析异常信息知道你使用什么数据库,SQLServer,Mysql,Oracle,还是简单的Acess!他们会像DBA一样操控数据库里面飞信息,确定你数据库的名字,再知道你数据库里面有几个表,再去确定表里面的字段,一步一步吞噬数据库里面的信息!
我们应该如何防止呢?
首先我们尽量:1.使用post提交
2.连接数据库的时候不要使用管理员的身份去连接
3.过滤一下数据库中敏感的字符
4.