防范策略
- 最小权限:为数据库操作员分配合适的最小权限
- 错误消息处理:避免因为错误消息,回显到前端而暴露信息(后端进行处理避免报错时回显到前端页面暴露信息)
- 预编译的使用:使用预编译SQL,可以有效防范sql注入(主要是前端输入的数据,和SQL语句进行了直接的拼接,无论你输入的是字符还是数字,都可能直接拼接到后端的SQL语句中,人为的制作一个闭合,就会造成数据的泄露,【可以通过预编译的方式,所有从前端输入进来的数据,要经过一些方法(校验判断)的处理,最终在和SQL语句进行拼接,避免前端输入的不合法、SQL注入的风险】)
- 加密处理:使用成熟的框架,可以有效防范SQL注入(密码等加密)
使用后端框架技术
- Hibernate
- MyBatis
- JORM
- Django
- Flask
- ......
这些框架已经把SQL注入的问题给解决了
标签:语句,前端,SQL,拼接,防范,注入 From: https://www.cnblogs.com/brf-test/p/18701395