sql注入问题?

Posted qudeqiang

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了sql注入问题?相关的知识,希望对你有一定的参考价值。

产生原因:

程序员采用拼接sql语句时出现的问题,如:采用“+”号拼接,这时用户输入,程序可能会分不清什么是数据,什么是语句,因而产生了注入。

解决方案(暂定):

参数化是防SQL注入框架级方案的重要部分,(但仅靠参数化没法很好满足开发过程中一些常见需求,如逗号分割的id列表问题、排序标记的问题等等)
1.检查变量数据类型和格式(只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式)
2.过滤特殊符号
3.绑定变量,使用预编译语句

 

更多详情可以参考https://www.zhihu.com/question/22953267




以上是关于sql注入问题?的主要内容,如果未能解决你的问题,请参考以下文章

什么是sql注入如何防止sql注入

PHP怎么防止sql注入

ORM注入和SQL注入有啥区别?

SQL注入问题

基础篇——SQL注入(手工注入)

sql注入 form过滤怎么绕过