SQL注入

何谓SQL注入

SQL注入是一种常见的数据库攻击手段,恶意用户通过在表单中填写包含SQL关键字的数据来使数据库执行非常规代码的过程。简单说,就是数据遇阻代庖做了代码才能干的事情。

例如:表单中插入DROP TABLE students;会执行删除表操作。

如何防止SQL注入

  • 避免使用常见数据库名和表名

    1
    2
    尽量使用较为复杂的结构和命名方式.
    例如,使用项目名_库名_表名
  • 使用正则表达式过滤

    1
    2
    使用正则表达式等字符串过滤手段限制数据项的格式、字符数目等。
    理论上避免数据项中存在引号、分号等特殊字符就能很大程度上避免SQL注入的发生。
  • 数据库操作方式来执行数据项的查询与写入操作

    1
    使用execute()方法来保证每次执行仅能执行一条语句,然后将数据项以参数的方式与SQL执行语句分离开来,就可以避免SQL注入问题。
  • 做好备份

  • 敏感数据进行加密

-------------本文结束感谢您的阅读-------------
原创技术分享,感谢您的支持。