SQL
注
⼊
SQL
注
⼊
是
⼀
种
常
⻅
的
⽹络
攻
击
⼿
段
,
攻
击
者
通过
修
改
Web
应
⽤
程
序
的
查
询
字
符
串
参
数
,
或
者
通
过
表
单
输
⼊
字
段
中
输
⼊
恶
意
的
SQL
代
码
,
试
图
控
制
数
据
库
查
询
的
⽅
式
,
达
到
⾮
法
查
看
数
据
、
篡
改数
据
或执
⾏
管
理
员
级
别
的
操
作
的
⽬
的
。
例
如
,
⼀个
简
单
的
可
注
⼊
SQL
的
代
码
可
能
类
似
这
样
:
query = "SELECT * FROM users WHERE username = '" + username + "' AND password
= '" + password + "'"
1
攻
击
者
可
以
输
⼊
这
样
的
⽤
⼾
名
与
密
码
:
username: admin' --
password: anypassword
1
2
这
将
使
得
原
来
的
SQL
查
询
变
成
:
query = "SELECT * FROM users WHERE username = 'admin' --' AND password =
'anypassword'"
1
其
中
的
--
是
SQL
中
的
注
释
符
号
,
这
会使
得
密
码
验
证
部
分
完
全
被
忽
略
,
攻
击
者
只
需
要
猜
测
到
⼀个
有
效
的
⽤
⼾
名
,
就
可
能
成
功
登
录
。
为了
防
⽌
SQL
注
⼊
,
我
们
可
以
采
取
以
下
的
⼀些
措
施
:
1.
使
⽤
参
数
化
查
询
或
预
编
译语
句
。
这
种
⽅
式
可
以
确
保
SQL
查
询
在
任何
情
况
下
都
不
会
被
改
变
,
输
⼊
的
内
容
始
终
只
会
被
认
为
是
数
据
,
⽽
不
是
SQL
代
码
的
⼀
部
分
。
2.
对
⽤
⼾
的
输
⼊
进
⾏
合
理
的
验
证
与
清
洁
。
确
保
其
符
合
预
期
的
格
式
,
尽
可
能
地
减
少
攻
击
的
可
能
性
。
3.
尽
量
避
免
直
接拼接
SQL
语
句
。
4.
使
⽤
权
限
设
置
,
确
保
数
据
库
账
⼾
只
拥
有
完
成
其
⼯
作
所
需
的
最
⼩
权
限
,
这
样
就
算
是
被
攻
击
,
破
坏
的
程
度
也
能
被
控
制
在
最
⼩
范
围
内
。
资源评论
