所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,这类表单特别容易受到SQL注入式攻击。SQL注入一直是WEB程序安全性的指标之一,也是必备防范的一种安全应用。那么,如何防止SQL注入呢?
限制类型
打个比方,比如有一个列表,用户可以输入一个数字跳到该页,像这种需求可以直接把输入框用JavaScript限制用户只能输入数字,其它字符不允许。PHP接收到参数的时候,直接判断是不是数字即可。
永远不要相信表单数据
表单的出现,是Web程序的一个里程碑,但也成为许多SQL注入的漏洞之一。永远记得:只要是用户输入的,就一定要进行相应的验证。
...