SQL注入之#--
标签:判断 sele 失效 使用 转义 use 更新 字段 count
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did117876
SQL注入之#--
用户输入的 SQL 参数严格使用参数绑定或者 METADATA 字段值限定,防止 SQL 注入,
禁止字符串拼接 SQL 访问数据库。
反例:某系统签名大量被恶意修改,即是因为对于危险字符 # --没有进行转义,导致数据库更新时,where
后边的信息被注释掉,对全库进行更新。
例子:select count(*) from userInfo where user_name=‘admin‘#‘ and pwd=‘xxxxx‘。【‘#】为账号的话就会造成后面的条件全部失效。导致万能钥匙。
未防止SQL注入登录不能向上面查判断,要md5加密密码。
登录先验证账户是否存在去出加密的密码,加密用户的密码,两个加密的md5进行对比判断登录
阅读:36次