SQL注入 – 仍然认为用户输入很安全吗？

[摘自]Google

SQL注入 – 仍然认为用户输入很安全吗？

如果我试图使用如下的用户名登入您的应用程序，将会发生什么？
无名氏’; 删除表成员;--（JohnDoe’; DROP TABLE members;--）

虽然这个具体的例证不会暴露用户数据，但由于它可能将您应用程序储存有成员信息在其上的SQL表完全移除，因此还是能造成很大的问题。

通常，您可以通过主动思考和输入确认来保护您的应用程序免受SQL注入的侵害。首先，您是否能确认SQL用户需要拥有许可来执行“DROP TABLE members”吗？仅授予选择权限不是足够了吗？通过谨慎设置SQL用户的许可，您可以避免遭受痛苦的困扰和大量的麻烦。您还可以以另外一种方式配置错误报告，这样如果查询失败，则数据库和它的表的名字将不会遭到暴露。
第二，永远都不要信任用户输入：对您来说看起来像是登陆表格的，对攻击者来说就是一个潜在的入口。对于即将储存在数据库中的输入，永远要进行审查和确认，并且在任何可能的情况下，要利用在大多数数据库编程接口都能获取的、被称为有准备的或被参数化的声明。