概念
攻击者通过在表单中填写包含SQL关键字的数据,然后这些关键字被拼接到SQL语句中进而改变了SQL语句的原始语义,最终拼接后的恶意代码得到执行。
避免或减少SQL注入
- 把应用服务器的数据库权限降至最低,尽可能地减少 SQL 注入攻击带来的危害
- 对数据库的特殊字符进行转义处理;
- 避免网站打印出SQL错误的信息,把SQL语句保留出来,防止攻击者进行研究
- 预编译语句,绑定变量。使用预编译的SQL语句
- 过滤用户输入,不允许输入SQL注入相关字符
概念
攻击者通过在表单中填写包含SQL关键字的数据,然后这些关键字被拼接到SQL语句中进而改变了SQL语句的原始语义,最终拼接后的恶意代码得到执行。
避免或减少SQL注入