千鋒教育-做有情懷、有良心、有品質的職業教育機構
攻擊者在HTTP請求中注入惡意的SQL代碼,服務器使用參數構建數據庫SQL命令時,惡意SQL被一起構造,并在數據庫中執行。
防范:
Web端:
1)有效性檢驗。
2)限制字符串輸入的長度。
服務端:
1)不用拼接SQL字符串。
2)使用預編譯的PrepareStatement。
3)有效性檢驗。(為什么服務端還要做有效性檢驗?第一準則,外部都是不可信的,防止攻擊者繞過Web端請求)
4)過濾SQL需要的參數中的特殊字符。比如單引號、雙引號。
下一篇
網絡安全面試題4道相關推薦