MySQL之SQL注入

1.SQL注入？

經過SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。

2.防止SQL注入，咱們須要注意如下幾個要點：

①永遠不要信任用戶的輸入。對用戶的輸入進行校驗，能夠經過正則表達式，或限制長度；對單引號和 雙"-"進行轉換等；

②永遠不要使用動態拼裝sql，能夠使用參數化的sql或者直接使用存儲過程進行數據查詢存取；

③永遠不要使用管理員權限的數據庫鏈接，爲每一個應用使用單獨的權限有限的數據庫鏈接；

④不要把機密信息直接存放，加密或者hash掉密碼和敏感的信息；

⑤應用的異常信息應該給出儘量少的提示，最好使用自定義的錯誤信息對原始錯誤信息進行包裝；

⑥sql注入的檢測方法通常採起輔助軟件或網站平臺來檢測，軟件通常採用sql注入檢測工具jsky，網站平臺就有億思網站安全平臺檢測工具。MDCSOFT SCAN等。採用MDCSOFT-IPS能夠有效的防護SQL注入，XSS攻擊等。

3.防範通常的SQL注入只要在代碼規範上下點功夫就能夠了。

文檔地址：

1.http://www.shouce.ren/api/view/a/11700