浅谈如何防御Sql注入

本文介绍了SQL注入的基本原理及其防范措施。通过使用预编译SQL语句的方法,可以有效防止用户输入被当作命令执行,从而避免SQL注入攻击。文章详细展示了预编译SQL的具体实现过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前段时间去听了内部4399手游老大讲了一些php安全方面的知识,有的是我也没听过的,有的是听过的,觉得比较好的,记录下来

Sql注入的原理非常简单,就是用户输入的数据,程序把这些数据也当做成了命令去执行,这就产生了Sql注入

解决这个问题,也非常简单..如果我把用户输入的数据当做是数据,而不是程序去执行,那么自然就不会产生Sql注入问题.

如何把用户的输入当做是数据而不程序?

方法即就是使用sql预编译

熟悉java ee的人都应该比较清楚hibernate

经常可以看到hibernate类似的语法是

insert into table (username,password)values(?,?);

其实这样的语法是数据库自带的,并不是hibernate所编写的,这样的方式其实就是预编译,完成的sql语句就是

prepare pstmt from 'insert into table (username,password)values(?,?)'; 

prepare:数据库关键字

pstmt :为这个预编译起个名(待会会根据这个名字进行调用,在通俗点可以理解为自定义的函数名)

from :不解释

insert into table (username,password)values(?,?) 就是预编译的sql语句

接下来调用的时候就是

set @username='我是用户名'

set @password='我是密码'

execute pstmt using @username,@password;

使用预编译的方式能大大的提高防御sql注入

至于能不能百分之百?我想应该不可能的,这个世界只要是放在互联网上的数据,都是不安全的.  

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值