如何从根本上防止 SQL 注入
展开全部
sql注入漏洞常见于用户输入时,如输入账户时。处理办法一般有:
1、使用强类型开发语言,如java\c\c++\c#等;
2、使用OWASP API等工具插件对输入的参数进行转码;
3、使用PrepareStatement接口来取代Statement来封装带入的参数(set方法);
4、使用成熟的持久层框架,如ibatis来处理数据存储;
5、对用户输入的字符串进行后台校验,禁止关键字(SELECT\DELETE\INSERT\OR\=\--等)
6、尽可能少用字符串拼接形成sql语句;
7、关键条件语句写在带入参数的前面,含有带入参数的部分用括号括起来,如"select *from table where if_important='Y' and (user_name="+userName+")";
1、使用强类型开发语言,如java\c\c++\c#等;
2、使用OWASP API等工具插件对输入的参数进行转码;
3、使用PrepareStatement接口来取代Statement来封装带入的参数(set方法);
4、使用成熟的持久层框架,如ibatis来处理数据存储;
5、对用户输入的字符串进行后台校验,禁止关键字(SELECT\DELETE\INSERT\OR\=\--等)
6、尽可能少用字符串拼接形成sql语句;
7、关键条件语句写在带入参数的前面,含有带入参数的部分用括号括起来,如"select *from table where if_important='Y' and (user_name="+userName+")";
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询