sql注入
1.所谓SQL注入,就是通过把SQL命令插入到Web表单提 交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据 库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。[1] 比如先前的很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
2. 就是指的是,在执行时,拼装sql,用户间接或直接 参与了sql语句的拼装,并且用户填写的不放呢影响sql本身的逻辑。
就比如用户在输完用户名及密码时,给一个请求发送到后台服务器上,交给写的一个类来处理这个请求,用你类中的代码来处理请求中的用户名和密码,然后再去数据库中去验证是否正确。
//sql语句
SELECT * FROM t_user WHERE NAME = "tom" AND PASSWORK = "1243 ";
//java拼装代码
String sql = " SELECT* FROM t_user
WHERE NAME = '"+name+"'
AND PASSWORD = '"+password+"';"
将sql语句写成
SELECT * FROM t_user WHERE NAME = "xxx" OR 1=1 “ AND PASSWORK = "1243 ";
解决方法:
不让用户参与拼装即可。
人怂胆子小,手拿大刀跑。