防范SQL注入對(duì)保護(hù)網(wǎng)站安全意義重大。其重點(diǎn)在于對(duì)用戶提交的信息進(jìn)行安全檢測(cè), 對(duì)于網(wǎng)站開發(fā)者來說, 永遠(yuǎn)不要信任用戶輸入的內(nèi)容, 不要對(duì)用戶提交的信息全盤接收, 必須對(duì)用戶輸入信息進(jìn)行過濾, 判斷和檢測(cè)。利用正則表達(dá)式進(jìn)行控制, 并限制用戶輸入數(shù)據(jù)的長度, 尤其對(duì)單引號(hào)雙引號(hào)等號(hào)等符號(hào)檢測(cè)轉(zhuǎn)換。不要使用動(dòng)態(tài)拼裝的SQL語句, 可以使用參數(shù)化的SQL或者直接使用存儲(chǔ)過程進(jìn)行數(shù)據(jù)的查詢和存取操作。出于安全考慮, 不要使用具有管理員權(quán)限的數(shù)據(jù)庫連接, 應(yīng)該為每個(gè)Web應(yīng)用程序設(shè)置有限權(quán)限的數(shù)據(jù)庫連接。
本文地址:http://m.knowyourextract.com//article/8157.html