MSSQL Sql注入简介及预防方法


sql注入,就是通过表单将包含sql命令的信息发送至后台,后台将这些信息按照sql命令的方式,得到运行,那么我们称这种行为为sql注入。
sql注入主要是通过表单执行sql命令来达到恶意操作数据库的目的。



常见的sql注入式漏洞

常见的sql注入式漏洞为: 单引号未过滤,导致sql命令得到执行 sql关键字未过滤。



避免sql注入式漏洞的方法

1 对用户的任何输入都必须进行相应的验证,和特殊字符的转义,对单引号 双引号的转换 ,对用户输入数据的长度进行合理的限制 对用户输入的数据类型进行验证
2 尽量少拼接sql语句,多采用参数化的sql
3 禁止使用管理员权限账号连接数据库
4 重要信息存入数据库前,进行适当的加密,对大批导出数据,进行合理的限制
5 前端友好提示,禁止直接抛出系统异常