1.检查上传的数据,并过滤
2.使用预处理语句和sql参数化查询
总结:在传统的写法中,sql查询语句是在程序中拼接,然后发送语句到mysql,mysql无法判断哪些是正常的,哪些是恶意的,就直接执行了,只能在程序中通过对上传的数据进行过滤,来防止sql注入;建议使用预处理语句和sql参数化查询 (1)先发送一个sql模板过去(2)再向mysql发送需要查询的参数,mysql知道这是变量,不会做语义解析
posted on 2018-03-30 15:38 薇薇123456 阅读(145) 评论(0) 编辑 收藏 举报
