SQL注入

概念

没有过滤用户的输入,使攻击者成功的向服务器提交恶意的sql查询代码

防范

1. 给使用者最小权限
2. 字符串检查,能限制长度的限制
3. 特殊字符转义
4. 参数化查询(预处理)
5. sql注入工具进行检查
6. 避免向外打印SQL错误信息