什么是SQL注入
通过构造特殊输入参数输入Web应用,导致后端执行了恶意SQL;
引起SQL注入的原因?
通常由于程序员未对输入进行过滤,直接动态拼接SQL产生的;
检测方法:
可以使用开源工具sqlmap,SQLninja检测;
如何防范SQL注入?
(1)对输入参数做好检查(类型和范围),过滤和转义特殊字符;
(2)不要直接拼接SQL,使用ORM可以大大降低SQL注入风险;
(3)数据库层:做好权限管理配置,不要明文存储敏感信息;
什么是SQL注入
通过构造特殊输入参数输入Web应用,导致后端执行了恶意SQL;
引起SQL注入的原因?
通常由于程序员未对输入进行过滤,直接动态拼接SQL产生的;
检测方法:
可以使用开源工具sqlmap,SQLninja检测;
如何防范SQL注入?
(1)对输入参数做好检查(类型和范围),过滤和转义特殊字符;
(2)不要直接拼接SQL,使用ORM可以大大降低SQL注入风险;
(3)数据库层:做好权限管理配置,不要明文存储敏感信息;