如何从根本上防止 SQL 注入
展开全部
也许可以这样回答你,如果能保证应用不使用“用户输入的字符串”来拼接成为 “向SQL 服务器发送的SQL执行字符串” 的话,就可以从根本上防止SQL注入。
一、SQL语言的机理:
1、当前主流的几大数据库服务器的数据存、取、汇总控制,都使用一种文本语句“SQL”语句。
2、当客户端需要数据,或需要发送数据,或需要汇总数据时,都可以向数据库发送这种标准的描述性文本,比如向数据库发送 “select * from bas1.dbo.tab1”就是告诉数据库,我要取“数据库bas1”中的“tab1”表中的 所有字段(用“*”通配来代表)的所有记录(因为没有加限制条件)。
一、SQL语言的机理:
1、当前主流的几大数据库服务器的数据存、取、汇总控制,都使用一种文本语句“SQL”语句。
2、当客户端需要数据,或需要发送数据,或需要汇总数据时,都可以向数据库发送这种标准的描述性文本,比如向数据库发送 “select * from bas1.dbo.tab1”就是告诉数据库,我要取“数据库bas1”中的“tab1”表中的 所有字段(用“*”通配来代表)的所有记录(因为没有加限制条件)。
本回答由提问者推荐
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
