sql注入
2024-01-02 10:32:05
"38356'or '1'--+'"
加固建议:
1、预编译处理&参数化查询
所有与数据库交互的业务接口均采用参数化查询,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中,参数化查询是防御SQL注入的最佳方法
2、对输入进行验证:
类型判断:字符型、整型;
长度判断:设置最大长度值;
业务参数合法性判断:比如支付金额不可能为负值这种;
特殊字符过滤:比如',",\,<,>,&,*,;,#,select,from,where,sub,if,union,sleep,and,or等;
验证所有的输入点,包括UA、Cookie以及其他HTTP头;
文章来源:https://blog.csdn.net/ruanchengshen/article/details/135334258
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!