那一年在北国遇见了你--牛腩：浅入浅出SQL注入

        抓迷藏在草稿箱中躲藏许久的你终于肯出来了。

        神话传说中，早听长辈们在耳边说起的一个耳熟能详的的“防止SQL注入”。

         SQL注入，到底是个什么东西，用牛腩的口语来说：真搞不懂。

       从理解到的信息简单地说： 如果你用的是拼接字符串来构造SQL语句，可以根据我们的SQL语句在拼接字

符串做手脚，进行对数据库的操。从系统的角度来说存在安全隐患，例如

        可以在界面构造语句删除数据库中的数据                                                                            

       

        在上面红色的文本框中输入：娱乐新闻 ') deletecategory where id=3--)，然后点击“添加新闻类别”，“娱乐

新闻”添进去了可是id为3的记录没有了，查找数据库发现id为3的数据也不存在说明在数据库中也被删除 。

    回到数据库中看SQL语句，如下

       即

insert into category (name) values 娱乐新闻 ') delete category whereid=3--)

这句话执行了插入和删除两个方法，插入“娱乐新闻”、删除id为3的记录。

        所以防止SQL注入，是一个很值得我们注意的问题。对于其方法，一个简单的方法就是用传参数的方法来

写SQL语句。如下：

实现如图效果：

只有添加没有删除操作，一定程度上保证了系统的安全性。

        分层一定程度上提高了安全性，如果不注意SQL语句同样会严重影响系统的安全。至此，对sql注入是不是

有点感性上的简单认识，随着学习的深入我们还需将深入学习并在实践中防微杜渐。