SQL数据库防注入
这才是为什么参数化查询时,能防注入的原因。sql拼接,直接会在编译时处理,所以如果拼接时出现有害字符(常见的案例是:select * from User where name='test' and password=1 OR 1=1)就能查出数据来。因为该sql在编译时就直接好了。通过参数化查询会分两步走,先编译,再套用参数运行,这就不会参数注入了
参考网页:https://blog.csdn.net/zyw_anquan/article/details/22178821
这才是为什么参数化查询时,能防注入的原因。sql拼接,直接会在编译时处理,所以如果拼接时出现有害字符(常见的案例是:select * from User where name='test' and password=1 OR 1=1)就能查出数据来。因为该sql在编译时就直接好了。通过参数化查询会分两步走,先编译,再套用参数运行,这就不会参数注入了
参考网页:https://blog.csdn.net/zyw_anquan/article/details/22178821
浙公网安备 33010602011771号