写点什么

防 sql 注入原理浅析

作者:追赶者
  • 2023-02-07
    北京
  • 本文字数:248 字

    阅读完需:约 1 分钟

之前一直知道有数据库有 sql 注入的问题,并知道要解决这个问题是要用到 sql 的参数化来解决,但一直没有真正了解为什么“参数化”就能解决这个问题,究竟是怎么解决的?查阅了几篇文章,现在大概总结下,可能有些地方不太严谨,理解问题就好。

sql 执行的步骤:1 语法检查、2 语句优化、3 编译、4 执行

sql 注入就是利用字符串拼接,来使最终生成的 sql 语句是非正常的语句,即 用户输入的内容也可能作为 sql 语句的一部分(不仅仅是作为参数)。

那么要想做到用户的输入只能作为 sql 语句查询的参数,就要在 sql 执行的第 3 步之后再将用户输入作为参数传递


用户头像

追赶者

关注

还未添加个人签名 2020-02-06 加入

还未添加个人简介

评论

发布
暂无评论
防sql注入原理浅析_SQL注入_追赶者_InfoQ写作社区