1
我是数据库领域的初学者,我正要理解,查询的自由文本输入可能会如何通过SQL注入来破坏数据库。是否阻止查询命令足以防止SQL注入?
其实,the relevant xckd概括起来完美:
这一定漫画意味着,如果我不允许用户形成任何类型的输入包含SQL命令(如DROP,UPDATE,INSERT INTO等),那么“非法”SQL查询就无法完成。
有什么我想念的吗?或者我是对的?
A
回答
2
您不必禁止输入中的所有SQL命令,只需确保它们仅被视为自由文本,以便它们不会被意外执行为命令。
这可能是一个良好的开端:
相关问题
- 1. 防止SQL注入查询
- 2. 查询生成器是否阻止SQL注入?
- 3. 仅SSL是否阻止SQL注入?
- 4. 加密是否防止sql注入?
- 5. psychopg2:是否cursor.mogrify防止sql注入?
- 6. 防止SQL注入
- 7. 防止命令行注入攻击
- 8. 阻止查询输出--destination_table命令
- 9. SQL防止SQL注入
- 10. str_replace的这种用法足以防止SQL注入攻击吗?
- 11. 这是防止SQL注入Wordpress查询的最佳方法
- 12. 阻止SQL注入C
- 13. PHP阻止SQL注入
- 14. PHP MySQLI阻止SQL注入
- 15. Java/Hibernate标准查询API是否防止注入?
- 16. PHP activerecord基本CRUD操作是否可以防止SQL注入?
- 17. 如何防止SQL注入?
- 18. 防止SQL注入与PHP
- 19. pdo防止sql注入
- 20. 防止SQL注入在asp.net
- 21. 防止SQL注入在ZF
- 22. TryParse防止SQL注入吗?
- 23. 防止SQL注入的PHP
- 24. Spring + Tomcat URL白名单,以防止命令注入
- 25. apache commons CommandLine对象可以防止命令行注入吗?
- 26. pg_prepare()预处理语句(不是PDO)是否阻止SQL注入?
- 27. 如何阻止此查询的SQL注入?
- 28. eachLine()是否足以阻止进程阻塞?
- 29. 如何编写参数化的sql查询以防止SQL注入?
- 30. 防止SQL注入,同时让用户在查询
不,带是不是从用户的输入删除SQL命令。这是关于[正确做事](http://stackoverflow.com/a/5468460/11683)。 – GSerg