如何避免sql injection
2个回答
展开全部
如果在编写SQL语句的时候,用户输入的变量不是直接嵌入到SQL语句。而是通过参数来传递这个变量的话,那么就可兄掘以有效的防治SQL注入式攻击。也就是说,用户的输入绝对不能够直接被嵌入到SQL语句中。与此相反,用户的输入的内容必须进行羡斗核过滤,或者使用参数化的语句来传递用户输入的变量。参数化的语句使用参数而不是将用户输销游入变量嵌入到SQL语句中。采用这种措施,可以杜绝大部分的SQL注入式攻击。
不过可惜的是,现在支持参数化语句的数据库引擎并不多。不过数据库工程师在开发产品的时候要尽量采用参数化语句。
不过可惜的是,现在支持参数化语句的数据库引擎并不多。不过数据库工程师在开发产品的时候要尽量采用参数化语句。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
1.查看和修改等的权限分离2.过滤所有用户输入
3.把所有单独出拆唤现的单引号改成两个单引号,防止攻击者修改SQL命令
4.用存储过程来执行所有的查询
5.完善用户局滚输入的的长度旅腊凯和类型等验证
6.检查用户输入的合法性
7.将用户登录名称、密码等数据加密保存
3.把所有单独出拆唤现的单引号改成两个单引号,防止攻击者修改SQL命令
4.用存储过程来执行所有的查询
5.完善用户局滚输入的的长度旅腊凯和类型等验证
6.检查用户输入的合法性
7.将用户登录名称、密码等数据加密保存
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
