samules

摘要： SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令，如何防止sql注入式攻击：使用预编译SQL语句；使用SQL参数传值，不拼接SQL；过滤非法字符；使用存储过程，如果实在要使用sql语句，进行语法判断，发现有非正常的sql语法，则提示错误存储过程跟触发器存储过程（Stored Procedure）是在大型数据库系统中，一组为了完成特定功能的SQL 语句集，经编译后存储在数据库中，用户通过指定存储过程的名字并给出参数（如果该存储过程带有参数）来执行它。例子：CREATE PROCEDURE order_tot_amt@o_ 阅读全文