Neo's Blog

不抽象就无法深入思考
不还原就看不到本来面目!

0%

网站安全系列-SQL注入

核心原理

where a = ‘$input’

input 被攻击者蓄意构造,系统服务器执行了不符合预期的SQL语句,从而导致攻击者获取到了更多的的数据。

where a = ‘input’ or 1=1;

防范实践

防范手段

对输入进行特殊字符的转义

最佳实践

参考文章

你的支持是我坚持的最大动力!