1. 程式人生 > >關於sql注入的一些理解

關於sql注入的一些理解

什麼叫做sql注入???

sql注入算是一些不法分子的攻擊手段,通過sql語句來實現無賬號密碼登入及其他操作。

比如在一個需要登入的介面:


賬號輸入成這樣的話,密碼可以隨意,那麼能很輕易的登入進去。因為在這條sql執行的時候,後臺的sql語句生成會出現:

SELECT * FROM table WHERE username='’or 1 = 1 -- and password='’

這種情況下 根本都不需要輸入密碼,在沒有密碼的時候,走OR  1=1 ,1為真那麼可以輕易不需要密碼的進入。

要想防止sql注入這種 攻擊,在本人上篇部落格裡有利用PDO的預處理進行防sql注入;