笔记:随着学习不断添加
sql注入原理:
程序接受来自客户端用户输入的变量或URL传递的参数,其中包含特殊字符,组成SQL语句的一部分,改变了sql语句原有的语义。
sql注入防御原理
1:将转义特殊字符
躲过防御方法
2:参数化SQL查询
原理:参数化查询就是使用预编译语句预防SQL注入,因为使用预编译的SQL语句语义不会发生改变,这类语句中的值用占位符替代,可以视为将sql语句模板化或者说参数化。
笔记:随着学习不断添加
sql注入原理:
程序接受来自客户端用户输入的变量或URL传递的参数,其中包含特殊字符,组成SQL语句的一部分,改变了sql语句原有的语义。
sql注入防御原理
1:将转义特殊字符
躲过防御方法
2:参数化SQL查询
原理:参数化查询就是使用预编译语句预防SQL注入,因为使用预编译的SQL语句语义不会发生改变,这类语句中的值用占位符替代,可以视为将sql语句模板化或者说参数化。