企业🤖AI智能体构建引擎,智能编排和调试,一键部署,支持私有化部署方案 广告
### SQL注入是一种将SQL代码添加到输入参数中,传递到服务器解析并执行的一种攻击手法。SQL注入攻击是输入参数未经过滤,然后直接拼接到SQL语句当中解析,执行达到预想之外的一种行为,称之为SQL注入攻击。 * 数字注入:OR 1 =1 * 字符串注入(‘#’、’.... ‘):'-- ' (--后面有个空格):'-- '后面的字符串都会被当成注释来处理;'#'后所有的字符串都会被当成注释来处理 #### **SQL注入是怎么产生的?** 1)WEB开发人员无法保证所有的输入都已经过滤 2)攻击者利用发送给SQL服务器的输入参数构造可执行的SQL代码(可加入到get请求、post请求、http头信息、cookie中) 3)数据库未做相应的安全配置 #### **如何预防SQL注入?** 1)严格检查输入变量的类型和格式 2)过滤和转义特殊字符 3)使用正则表达式过滤传入的参数