sql注入问题?

产生原因:

程序员采用拼接sql语句时出现的问题,如:采用“+”号拼接,这时用户输入,程序可能会分不清什么是数据,什么是语句,因而产生了注入。

解决方案(暂定):

参数化是防SQL注入框架级方案的重要部分,(但仅靠参数化没法很好满足开发过程中一些常见需求,如逗号分割的id列表问题、排序标记的问题等等)
1.检查变量数据类型和格式(只要是有固定格式的变量,在SQL语句执行前,应该严格按照固定格式去检查,确保变量是我们预想的格式)
2.过滤特殊符号
3.绑定变量,使用预编译语句

 

更多详情可以参考https://www.zhihu.com/question/22953267

posted on 2018-06-07 12:00  尘世辣么美  阅读(101)  评论(0编辑  收藏  举报

导航