sql注入是比较常见的网络攻击方式之一,这种错误往往是程序员编程时的疏忽造成的.
比如现实业务中用户想查询产品价格为10,type为"成品"的产品(type分为:成品,半成品,检修)正确sql如下:
select * from production as a where a.type='成品' and a.price=10;
接下来操作页面上有两个条件搜索框,分别为价格和产品类型,用户输入价格10,产品类型框输入的不是 成品这个条件 而是''or 1=1 - -
这时候就会引发sql注入.这个时候的sql是这样的
select * from production as a where a.type='' or 1=1 --and a.price=10;
type='' or 1=1 这个条件永远成立 而加上 -- 意味着注释.所以这时会把所有数据查询出来.从而导致查询错误.
解决方法:
1.参数化SQL
这是我们比较常用的,就是在需要填值得地方使用Parameter来给值,用?或#来表示参数.
在使用这种方式的情况下,数据库服务器不会将参数的内容视为SQL指令的一部分来处理,而是在数据库完成SQL指令编译后再拼接上参数,这时就算含有错误参数,由于已经编译完成,就不会被数据库所运行.
2.正则表达式我们也可以在代码前后端使用正则表达式来过滤参数,将包含有单引号,分号,和注释符号等等的语句给替换掉