常规SQL注入因为构造网络请求麻烦有什么办法解决

2021-04-06 14:04发布

2条回答

1.      检查变量数据类型和格式,过滤特殊语句

和防XSS攻击一样,请求参数消毒是一种比较简单粗暴又有效的手段。通过正则匹配,过滤请求数据中可能注入的SQL,如:drop table 等。

2.      参数绑定

使用预编译手段,绑定参数是最好的防SQL注入的方法。目前许多数据访问层框架,如Hibernate, TP, yii 等,都实现SQL预编译和参数绑定,攻击者的恶意SQL会被当做SQL测参数,而不是SQL命令被执行。