SQL注入(SQLi)是一种注入攻击,,可以执行恶意SQL语句。它通过将任意SQL代码插入数据库查询,使攻击者能够完全控制Web应用程序后面的数据库服务器。
攻击者可以使用SQL注入漏洞绕过应用程序安全措施;可以绕过网页或Web应用程序的身份验证和授权,并检索整个SQL数据库的内容;还可以使用SQL注入来添加,修改和删除数据库中的记录。
php如何防sql注入?
1、什么时候最易受到SQL注入攻击
当应用程序使用输入内容来构造动态SQL语句,以访问数据库时会发生SQL注入攻击
2、如何防止SQL注入
a、永远不要相信用户的输入,对用户输入进行校验,可以通过正则表达式,或限制长度,对单引号和“_”进行转换
b、永远不要使用动态拼装SQL,可以使用参数化的SQL或者直接使用存储过程进行数据查询存取
c、永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限有限的数据连接
d、不要把机密的信息直接存放,加密或者HASH掉密码和敏感的信息