所谓SQL注⼊入,就是通过把SQL命令插⼊入到Web表单提交或输⼊入域名或⻚页⾯面请求的查询字符串串,最终达到欺骗服务
器器执⾏行行恶意的SQL命令。
如何防范:
检查⽤用户输入的合法性,过滤掉⼀一些常⻅见的数据库关键字:select、insert、update、delete、and、or
等;
避免提示出现⼀一些详细的错误消息,因为⿊黑客们可以利利⽤用这些消息。要使⽤用⼀一种标准的输⼊入确认机制来验证所有的
输⼊入数据的⻓长度、类型、语句句;
使⽤用存储过程来执⾏行行所有的查询;
给访问数据库的web应⽤用功能所需的最低的权限,撤销不不必要的公共许可,如果web应⽤用只需要只读的权限,那么就
禁⽌止它对此表的 drop 、insert、update、delete 的权限;
将⽤用户登录名称、密码等数据加密保存。加密⽤用户输⼊入的数据,然后再将它与数据库中保存的数据⽐比较,这相当于
对⽤用户输⼊入的数据进⾏行行了了“消毒”处理理,⽤用户输⼊入的数据不不再对数据库有任何特殊的意义;