舉例:
select admin from user where username='admin' or 'a'='a' and passwd=''or 'a'='a'
防止 SQL 注入, 使用預編譯語句是預防 SQL 注入的最佳方式, 如
select admin from user where username=? And password=?
使用預編譯的 SQL 語句語義不會發生改變, 在 SQL 語句中, 變量用問號? 表示。 像上面例子中, username 變量傳遞的'admin' or
'a'='a' 參數, 也只會當作 username 字符串來解釋查詢, 從根本上杜絕了 SQL 注入攻擊的發生。
注意: 使用 mybaits 時 mapper 中#方式能夠很大程度防止 sql 注入, $方式無法防止 sql 注入.
如何防止sql注入
免責聲明!
本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。