今天搜百度百科sql注入写的实在太好了,可以自己理解不了这么多,在这里能理解多少我就写多少:
1:对用户的输入进行校验(正则表达式、限制长度、对敏感字符进行转换)
2:不要动态拼装sql,可以使用参数化的sql或者直接使用存储过程进行数据查询存取
3:永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据库连接
4:不要把机密信息直接存放,加密或者hash掉密码和敏感的信息
5:使用自定义的错误信息对原始错误信息进行包装
6:sql注入检测方法才去辅助软件或网站平台来检测
7:前台验证用户名密码可以先验证用户名再验证密码