SQL Injection

SQL Injection：通过SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到

欺骗服务器执行恶意的SQL命令。

向服务器端提交事先准备好的数据，拼凑出攻击者想要的SQL语句，以改变数据库操作执行计划。

注入途径：GET，POST，Client-Agent，Cookie，Server Enviroment...  

注意：

1、永远不要行人用户的输入，要对用户输入进行校验，可通过正则表达式，或限制长度，对单引号和=转换。

2、永远不要使用动态拼装SQL，可使用参数化SQL，或直接使用存储过程进行数据库查询。数据表添加架构，降低表明被猜出来的可能性。

3、不要使用管理员权限的数据库连接

4、不要把机密信息明文存放，请加密

5、应用的异常信息应该给的尽量少，最好使用自定义的错误信息进行包装

 

回答总结：

SQL injection攻击网络主要时通过SQL命令插入到web表单提交、输入域名、页面请求页面查询字符串，拼凑出攻击者想要的SQL，改变数据库操作。
如果将输入的方式输入为，SELECT * from Users WHERE login = ''AND password = ''，注入为SELECT * from Users WHERE login = '' or '1'='1' AND password = '' or '1'='1'，那么就可以获得全部的信息。
所以，如果我们要防止SQL injection，不要动态拼装SQL，可使用参数化SQL或使用直接存储过程。还有就是要注意对输入进行校验，可以用正则表达式。不要用管理员权限进行数据连接。用户的信息要加密，不要明文存放。