那一年在北国遇见了你--牛腩:浅入浅出SQL注入
来源:互联网 发布:语音同步翻译软件 编辑:程序博客网 时间:2024/05/01 07:50
抓迷藏在草稿箱中躲藏许久的你终于肯出来了。
神话传说中,早听长辈们在耳边说起的一个耳熟能详的的“防止SQL注入”。
SQL注入,到底是个什么东西,用牛腩的口语来说:真搞不懂。
从理解到的信息简单地说: 如果你用的是拼接字符串来构造SQL语句,可以根据我们的SQL语句在拼接字
符串做手脚,进行对数据库的操。从系统的角度来说存在安全隐患,例如
可以在界面构造语句删除数据库中的数据
在上面红色的文本框中输入:娱乐新闻 ') deletecategory where id=3--),然后点击“添加新闻类别”,“娱乐
新闻”添进去了可是id为3的记录没有了,查找数据库发现id为3的数据也不存在说明在数据库中也被删除 。
回到数据库中看SQL语句,如下
即
insert into category (name) values 娱乐新闻 ') delete category whereid=3--)
这句话执行了插入和删除两个方法,插入“娱乐新闻”、删除id为3的记录。
所以防止SQL注入,是一个很值得我们注意的问题。对于其方法,一个简单的方法就是用传参数的方法来
写SQL语句。如下:
实现如图效果:
只有添加没有删除操作,一定程度上保证了系统的安全性。
分层一定程度上提高了安全性,如果不注意SQL语句同样会严重影响系统的安全。至此,对sql注入是不是
有点感性上的简单认识,随着学习的深入我们还需将深入学习并在实践中防微杜渐。
0 0
- 那一年在北国遇见了你--牛腩:浅入浅出SQL注入
- 那一年在北国遇到了你牛腩--CSS
- 那一年在北国遇到了你牛腩--触发器与存储过程
- 那一年在北国遇到了你—牛腩新闻发布系统总结
- 这一年,你遇见了谁?
- 牛腩学习---SQL注入
- 【牛腩】SQL注入
- 【牛腩】SQL注入
- 那一年 八年了~
- 遇见你是一个秘密--牛腩新闻发布系统尾声
- 如果在天堂遇见你....(看了不准哭)
- 在最美的时候,你遇见了谁?
- 在最美的时候,你遇见了谁?
- 在最美的时候,你遇见了谁?
- [牛腩]参数化查询防止SQL注入
- 【牛腩新闻发布系统】SQL注入
- 【牛腩新闻发布系统】--防止sql注入
- 那一年,我毕业了
- TableView的用法总结
- IntelliJ IDEA 14.0正式版KeyGen
- 磁盘性能指标--IOPS 理论
- Java 标注(Annotation)详解 .
- Android - Warning:Not annotated parameter overrides @NonNull parameter
- 那一年在北国遇见了你--牛腩:浅入浅出SQL注入
- 啊哈C——学习2.2练习
- 线段树
- 讨论CSS hacks,条件引用或者其他
- ADSL之PPPOE
- unity3d android sdk接入
- Android Ril 分析
- c语言详解sizeof
- 关于指针函数