如何防止sql注入

1.检查上传的数据,并过滤

2.使用预处理语句和sql参数化查询

总结:在传统的写法中,sql查询语句是在程序中拼接,然后发送语句到mysql,mysql无法判断哪些是正常的,哪些是恶意的,就直接执行了,只能在程序中通过对上传的数据进行过滤,来防止sql注入;建议使用预处理语句和sql参数化查询 (1)先发送一个sql模板过去(2)再向mysql发送需要查询的参数,mysql知道这是变量,不会做语义解析

 

  

 

posted on 2018-03-30 15:38  薇薇123456  阅读(145)  评论(0编辑  收藏  举报

导航