攻擊者(zhe�����)在HTTP請(qing)求中注(zhu)入惡(e)意的SQL代碼,服務器使用參數構(gou)建數據庫SQL命令時,惡(e)意SQL�������被一起(qi)構(gou)造,并在數據庫中執行。
防范:
Web端:
1)有效性(xing)檢驗。
2)限制字符串輸(shu)入的長度。
服務端:
1)不用拼(pin)接SQL字(zi)符串。
2)使(shi)用(yong)預編譯的PrepareStatement。
3)有效性檢驗。(為什么服(fu)務端還要做(zuo)有效性檢驗?第一(yi)準(zhun)則,外部都是不(bu)可信的����(de),防(fang)止攻(gong)擊者繞過Web端請求)
4)過(guo)濾SQL需(xu)要的參數中的特殊字(�������zi)符。比如單����(dan)引號(hao)、雙引號(hao)。
聲明:本站稿件版權均屬千鋒教育所有,未經許可不得擅自轉載。
