防止sql注入
sql注入:通过恶意传参,欺骗server端执行恶意sql。
select * from students where id=2 or 2=2; //通过使where条件恒真获取全表数据
然后猜测表名再对表做修改。
1、不要信任client端用户的输入,包括form submit、get请求参数字符串,都要做验证。正则验证,限制参数长度,对单双引号转好,参数加密。
2、不要动态拼装sql,要用PreparedStatement。
4、关键信息加密存放。
5、返回给前端的异常信息要做包装,防止原生异常中系统信息被暴露到前端。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
