何谓SQL注入
SQL注入是一种常见的数据库攻击手段,恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。简单说,就是数据遇阻代庖做了代码才能干的事情。
例如:表单中插入DROP TABLE students;
会执行删除表操作。
如何防止SQL注入
避免使用常见数据库名和表名
1
2尽量使用较为复杂的结构和命名方式.
例如,使用项目名_库名_表名使用正则表达式过滤
1
2使用正则表达式等字符串过滤手段限制数据项的格式、字符数目等。
理论上避免数据项中存在引号、分号等特殊字符就能很大程度上避免SQL注入的发生。数据库操作方式来执行数据项的查询与写入操作
1
使用execute()方法来保证每次执行仅能执行一条语句,然后将数据项以参数的方式与SQL执行语句分离开来,就可以避免SQL注入问题。
做好备份
敏感数据进行加密