导语:
什么是SQL注入?
抽象解释:用户根据系统的程序构造非法的参数从而导致程序执行不是程序员所期望的,而是恶意的SQL语句。
防止SQL注入的方法:
1.使用参数化的SQL语句可以避免SQL注入。
2.存储过程代替SQL语句。
3.去除敏感字符(',or等)。此方法请参考:https://blog.csdn.net/qq_43128070/article/details/105268313
直观演示SQL注入:
数据库中的数据:所有的密码都是123456
后台:
页面:我输入任意密码,用户名拼接or 1=1(恶意的SQL语句)
单击“登录”按钮:跳转到了主页