sql注入

 

维基百科对sql注入的解释

https://en.wikipedia.org/wiki/SQL_injection

 

我觉得这么大的业务逻辑，只要找到一个注入点，那么整个数据库都是不安全的，这是SQL注入危险系数高的原因。

数据库中都存放着什么东西？

用户名和密码

用户基本信息

用户认证信息

一些订单数据（电子商务，开房记录等）。

一些医疗信息（互联网医疗）

一些经济数据（股票基金等）

 

比如说一个服务端使用如下的sql语句。假如uname和passwd变量是直接从前端获取的，那么就是不科学的，存在风险的。

sql = “SELECT id FROM users WHERE username=’” + uname + “’ AND password=’” + passwd + “’”

 

更新于2018-09-29

随着开发框架的完善和预编译的应用，sql注入确实越来越少了。

java的mybatis半自动框架是我于一年内了解和学习使用的的，使用它确实减少了sql注入的风险。