SQL注入

SQL注入是什么？

• SQL注入是通过伪装欺骗的手段将恶意的SQL命令插入到Web表单中提交给服务器，作为请求的查询字符串最终恶意获取到数据库的大量数据。

如何避免SQL注入？

• 优化数据库各种字段名
• 避免使用动态SQL，将用户提供的输入直接放入SQL语句中
• 避免将敏感数据直接保存成纯文本，可以加密存储
• 限制数据库访问权限
• 使用防火墙