各位朋友,大家好。
有个问题关于SQL注入的,网上搜索出来的答案都不是很满意,所以放到这里来请教下大家了。
到底SQL注入是个什么样的问题导致的,网上所说的SQL拼接会导致注入问题是怎么回事,可以的话,麻烦举个例子,越详细越好,十分感谢!哦,还有如何避免SQL注入问题? :)
关于SQL注入的问题
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
- 邀请回答
-
2条回答 默认 最新
- weixin_42519818 2009-12-19 15:01关注
先说下怎么避免。关键字:绑定参数。
java api中的例子:
PreparedStatement pstmt = con.prepareStatement("UPDATE EMPLOYEES
SET SALARY = ? WHERE ID = ?");
pstmt.setBigDecimal(1, 153833.00)
pstmt.setInt(2, 110592)如何注入:
String id="1";
String sql="select * from emp where id='"+id+"'";
这是什么意思?是查询emp表中id为1的字段对吧。
看看这个:
String id="1' or '1'='1";
String sql="select * from emp where id='"+id+"'";
是什么结果?与select * from emp没区别了吧。
如果使用绑定参数,id="1' or '1'='1"会被当成一个字符串处理。
当然,这个一个小例子,所以在我们操作数据库的时候要小心。本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏 举报
悬赏问题
- ¥100 set_link_state
- ¥15 虚幻5 UE美术毛发渲染
- ¥15 CVRP 图论 物流运输优化
- ¥15 Tableau online 嵌入ppt失败
- ¥100 支付宝网页转账系统不识别账号
- ¥15 基于单片机的靶位控制系统
- ¥15 真我手机蓝牙传输进度消息被关闭了,怎么打开?(关键词-消息通知)
- ¥15 装 pytorch 的时候出了好多问题,遇到这种情况怎么处理?
- ¥20 IOS游览器某宝手机网页版自动立即购买JavaScript脚本
- ¥15 手机接入宽带网线,如何释放宽带全部速度