什么是MySql注入，怎么防止MySql注入。

╰半橙微兮° 2023-06-26 05:48 73阅读 0赞

## 什么是MySql注入 ##

#### 1、先来看百度百科是怎么说的 ####

> SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下实现非法操作，以此来实现欺骗数据库服务器执行非授权的任意查询，从而进一步得到相应的数据信息。

简单说，就是我们在拼接sql的时候，没有过滤用户的非法sql，导致查询结果和我们预想的不一样。

#### 2、举个简单例子来帮助理解（实际开发中可能不存在这种简单的错误） ####

**2-1：比如我们要根据用户名和密码进行登录，我们后台sql这样写**

SELECT * FROM user WHERE username = ? and password = ?

**2-2：我们预想的：用户输入 username：张三，password：123456**

**2-3：但实际人家黑客这样输入： username：张三，password： " or 1 = 1 –**

**2-4：根据黑客输入的参数，我们的sql将变成这样了**

SELECT * FROM user WHERE username = "张三" and password = "" or 1 = 1 -- "

后面这个 – 就是注释，它注释了后面的其它内容，整个sql就变成下面这样，因为 or 1 = 1，所以怎么都会出结果

SELECT * FROM user WHERE username = "张三" and password = "" or 1 = 1

**2-5: 当然了上面只是一个简单的sql注入，有人说实际开发中，我们根本不会这样去做。当然了实际情况中黑客也比我牛批一亿倍，这个例子是为了让你简单理解什么是sql注入。**

## 怎么防止sql注入，通过上面的解释我们知道sql注入，是通过字符串动态sql拼接的。 ##

*  1.永远不要信任用户的输入。对用户的输入进行校验，可以通过正则表达式，或限制长度；对单引号和 双"-"进行转换等。
 *  2.永远不要使用动态拼装sql，可以使用参数化的sql或者直接使用存储过程进行数据查询存取。
 *  3.永远不要使用管理员权限的数据库连接，为每个应用使用单独的权限有限的数据库连接。
 *  4.不要把机密信息直接存放，加密或者hash掉密码和敏感的信息。
 *  5.应用的异常信息应该给出尽可能少的提示，最好使用自定义的错误信息对原始错误信息进行包装

发表评论取消回复

表情：

评论列表（有 0 条评论，73人围观）

还没有评论，来说两句吧...

相关阅读

相关 MySQL中如何防止SQL注入攻击？

在MySQL中防止SQL注入攻击通常有以下几个步骤： 1. **参数化查询**： MySQL 5.7及更高版本支持参数化查询（Prepared Statements）。例如

╰半橙微兮°/ 2025年03月22日 16:03/ 0 赞/ 43 阅读

相关 SQL注入攻击：MySQL防止SQL注入的措施

MySQL数据库防SQL注入的主要措施包括： 1. **参数化查询**：这是最直接且有效的方式。在编写SQL语句时，不是直接拼接用户输入，而是使用预编译的SQL语句，将参数

Dear 丶/ 2025年03月01日 12:51/ 0 赞/ 84 阅读

相关 MySQL：如何防止SQL注入攻击？

防止SQL注入攻击是数据库安全的重要环节。以下是几种常见的防范策略： 1. **参数化查询**：使用预编译语句（如`PreparedStatement`在Java中，

曾经终败给现在/ 2025年02月23日 17:54/ 0 赞/ 87 阅读

相关 SQL注入风险防控策略：MySQL防止注入攻击实例

防止SQL注入攻击，主要在编写数据库交互代码时采取以下策略： 1. **参数化查询**： MySQL以及其他支持参数化查询的数据库系统都提供了这种方式。通过传递预定义的

布满荆棘的人生/ 2025年02月02日 16:18/ 0 赞/ 77 阅读

相关 SQL注入风险：如何防止MySQL中的SQL注入攻击

防止MySQL中的SQL注入攻击，通常需要遵循以下几个步骤： 1. **参数化查询**：使用预编译的SQL语句（如`PreparedStatement`或`PDO::

向右看齐/ 2025年01月07日 14:15/ 0 赞/ 111 阅读

相关什么是MySql注入，怎么防止MySql注入。

什么是MySql注入 1、先来看百度百科是怎么说的 > SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义

╰半橙微兮°/ 2023年06月26日 05:48/ 0 赞/ 74 阅读

相关什么是sql注入?如何防止sql注入?

sql注入：利用现有应用程序，将（恶意）的SQL命令注入到后台数据库执行一些恶意的操作造成SQL注入的原因是因为程序没有有效过滤用户的输入，使攻击者成功的向服务器提交恶意的

爱被打了一巴掌/ 2023年02月17日 05:23/ 0 赞/ 107 阅读

相关 Mysql模糊查询防止sql注入

使用concat配合escape 防止sql注入 escape意思就是说/之后的\_不作为通配符 <if test="params.jobName != null

野性酷女/ 2022年12月10日 03:47/ 0 赞/ 377 阅读

相关 nodejs中查询mysql防止SQL注入

Performing queries The most basic way to perform a query is to call the `.query()` me

ゝ一世哀愁。/ 2022年05月17日 00:10/ 0 赞/ 338 阅读

相关什么是 SQL 注入？怎么进行？如何防范？

点击上方Web项目聚集地，选择“置顶公众号” 优质文章，第一时间送达 ![640?][640] 作者 | zone7 订阅号 | zone7 目录为

逃离我推掉我的手/ 2021年07月31日 16:21/ 0 赞/ 462 阅读