什么是MySql注入，怎么防止MySql注入。

╰半橙微兮° 2023-06-26 05:48 32阅读 0赞

## 什么是MySql注入 ##

#### 1、先来看百度百科是怎么说的 ####

> SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

简单说，就是我们在拼接sql的时候，没有过滤用户的非法sql，导致查询结果和我们预想的不一样。

#### 2、举个简单例子来帮助理解（实际开发中可能不存在这种简单的错误） ####

**2-1：比如我们要根据用户名和密码进行登录，我们后台sql这样写**

SELECT * FROM user WHERE username = ? and password = ?

**2-2：我们预想的：用户输入 username：张三，password：123456**

**2-3：但实际人家黑客这样输入： username：张三，password： " or 1 = 1 –**

**2-4：根据黑客输入的参数，我们的sql将变成这样了**

SELECT * FROM user WHERE username = "张三" and password = "" or 1 = 1 -- "

后面这个 – 就是注释，它注释了后面的其它内容，整个sql就变成下面这样，因为 or 1 = 1，所以怎么都会出结果

SELECT * FROM user WHERE username = "张三" and password = "" or 1 = 1

**2-5: 当然了上面只是一个简单的sql注入，有人说实际开发中，我们根本不会这样去做。当然了实际情况中黑客也比我牛批一亿倍，这个例子是为了让你简单理解什么是sql注入。**

## 怎么防止sql注入，通过上面的解释我们知道sql注入，是通过字符串动态sql拼接的。 ##

*  1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双"-"进行转换等。
 *  2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
 *  3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
 *  4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
 *  5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

发表评论取消回复

表情：

评论列表（有 0 条评论，32人围观）

还没有评论，来说两句吧...

相关阅读

相关 SQL注入风险防控策略：MySQL防止注入攻击实例

防止SQL注入攻击，主要在编写数据库交互代码时采取以下策略： 1. **参数化查询**： MySQL以及其他支持参数化查询的数据库系统都提供了这种方式。通过传递预定义的

布满荆棘的人生/ 2025年02月02日 16:18/ 0 赞/ 19 阅读

相关 SQL注入风险：如何防止MySQL中的SQL注入攻击

防止MySQL中的SQL注入攻击，通常需要遵循以下几个步骤： 1. **参数化查询**：使用预编译的SQL语句（如`PreparedStatement`或`PDO::

向右看齐/ 2025年01月07日 14:15/ 0 赞/ 53 阅读

相关什么是MySql注入，怎么防止MySql注入。

什么是MySql注入 1、先来看百度百科是怎么说的 > SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义

╰半橙微兮°/ 2023年06月26日 05:48/ 0 赞/ 33 阅读

相关什么是sql注入?如何防止sql注入?

sql注入：利用现有应用程序，将（恶意）的SQL命令注入到后台数据库执行一些恶意的操作造成SQL注入的原因是因为程序没有有效过滤用户的输入，使攻击者成功的向服务器提交恶意的

爱被打了一巴掌/ 2023年02月17日 05:23/ 0 赞/ 41 阅读

相关 mysql like 防注入,三十九、MySQL 安全及防止 SQL 注入攻击

如果通过网页获取用户输入的数据并将其插入 MySQL 数据库，那么就有可能发生 SQL注入攻击的安全问题作为研发，有一条铁律需要记住，那就是永远不要相信用户的数据，哪怕

太过爱你忘了你带给我的痛/ 2023年01月13日 13:56/ 0 赞/ 331 阅读

相关 Mysql模糊查询防止sql注入

使用concat配合escape 防止sql注入 escape意思就是说/之后的\_不作为通配符 <if test="params.jobName != null

野性酷女/ 2022年12月10日 03:47/ 0 赞/ 332 阅读

相关 sql注入是什么

sql注入：利用现有应用程序，将（恶意）的SQL命令注入到后台数据库执行一些恶意的操作造成SQL注入的原因是因为程序没有有效过滤用户的输入，使攻击者成功的向服务器提交恶意的

╰+攻爆jí腚メ/ 2022年07月12日 11:36/ 0 赞/ 258 阅读

相关 nodejs中查询mysql防止SQL注入

Performing queries The most basic way to perform a query is to call the `.query()` me

ゝ一世哀愁。/ 2022年05月17日 00:10/ 0 赞/ 300 阅读

相关什么是依赖注入

Spring 能有效地组织J2EE应用各层的对象。不管是控制层的Action对象，还是业务层的Service对象，还是持久层的DAO对象，都可在Spring的管理下有机地协

布满荆棘的人生/ 2022年03月21日 04:44/ 0 赞/ 296 阅读

相关什么是 SQL 注入？怎么进行？如何防范？

点击上方Web项目聚集地，选择“置顶公众号” 优质文章，第一时间送达 ![640?][640] 作者 | zone7 订阅号 | zone7 目录为

逃离我推掉我的手/ 2021年07月31日 16:21/ 0 赞/ 429 阅读