我已经阅读了有关sql注入的帖子,在那里我看到他们使用站点的查询字符串来破解它们。我想知道是否可以安全使用查询字符串以及如何使我的网站对SQL注入稳定?
答案 0 :(得分:1)
sql注入通常来自运行服务器端的代码中的错误并将sql查询提交到数据库。执行此操作的方式中的许多错误都可能导致sql注入。您可以从URL读取值,但在将这些值插入sql查询之前,您应该进行一些检查。
为了回答您的问题,查询字符串是安全的,因为您使用它们中的变量可能不是。
至于使您的站点不易受到攻击,您应该实现所有数据访问层代码(调用存储过程,CRUD操作,函数等)不易受其影响。例如,如果您使用查询,在其中传递参数化变量,那么您可以避免大量的SQL注入。请看看这里
https://www.owasp.org/index.php/SQL_Injection_Prevention_Cheat_Sheet
答案 1 :(得分:0)
如果从不受信任的数据(例如查询字符串)构建SQL语句,那么您很容易受到SQL注入的攻击。</ p>